Carmen Graauwmans / 26 februari 2018

De rechten van betrokkenen [blog 2/10]

De GDPR-wet in een notendop: Europese burgers krijgen meer en verbeterde privacyrechten en bedrijven grotere verantwoordelijkheden. In ons tweede blog zoomen we in op deze rechten en ontdek je wat de gevolgen zijn voor je bedrijf. Maar we beginnen bij het begin.

Wie worden bedoeld met de betrokkenen?

De overheid en de Autoriteit Persoonsgegevens (AP) spreken van betrokkenen. Daarmee bedoelen ze mensen van wie persoonsgegevens wordt verwerkt. Betrokkenen kunnen dus zowel klanten, leveranciers als medewerkers zijn.

De rechten van betrokkenen

De GDPR-wet overlapt deels met de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp). Ten opzichte van de huidige wet krijgen betrokkenen meer en verbeterde privacyrechten. Per 25 mei van dit jaar vervangt de GDPR-wet de Wbp. Tot die tijd is de Wbp van kracht.

Een overzicht van de rechten van betrokkenen wanneer de GDPR-wet intreedt:

  • Recht op inzage
    De betrokkene moet te allen tijde inzage kunnen krijgen op welke manier zijn of haar persoonsgegevens zijn verwerkt.
  • Recht op correctie en verwijdering
    De betrokkene moet persoonsgegevens kunnen aanpassen of kunnen laten aanpassen en heeft het recht om permanent ‘vergeten’ te worden.
  • Recht op dataportabiliteit
    De betrokkene moet de verwerkte persoonsgegevens eenvoudig kunnen verkrijgen en kunnen doorgeven aan een andere organisatie.
  • Recht op klacht
    De betrokkene kan een klacht indienen bij de autoriteiten en krijgt de garantie dat de klacht in behandeling wordt genomen.

De gevolgen voor bedrijven

Het gevolg is dat bedrijven grotere verantwoordelijkheid krijgen. Maar zie dit niet als een negatief gevolg. Voor transparante bedrijven ligt er een kans. Daar komen we straks op terug. We bekijken eerst op drie niveaus wat de impact van de wet is op bedrijven.

Niveau één: je eigen systemen

Om nu aan de wet te voldoen, moet je software geschikt zijn om persoonsgegevens inzichtelijk te maken, aan te passen en te verwijderen. Dat lijkt eenvoudiger dan het is. In sommige CRM-pakketten bijvoorbeeld, kun je persoonsgegevens niet verwijderen, maar alleen op actief of inactief zetten. Of heb je te maken met verschillende beheerdersniveaus dat voorkomt dat iedere medewerker gegevens kan aanpassen. En wat is verwijderen? Zijn de gegevens permanent verwijderd of staan ze nog ergens op een server? Houd daarnaast rekening met third party data, want je eigen systemen zijn in wezen een tweetrapsraket: gegevensverwerking binnen je bedrijf aan de ene kant en de manier waarop je partners die gegevens verwerken aan de andere kant.

Niveau twee: complexiteit door meerdere systemen

Veel bedrijven beschikken over verschillende systemen die persoonsgegevens verwerken, zoals het CRM, de personeelsadministratie en het boekhoudsysteem. Dat maakt voldoen aan de wet complex. Bijvoorbeeld wanneer iemand vraagt om zijn adresgegevens te wijzigen. De gegevens moeten in ieder systeem waar de persoon in voorkomt worden aangepast. Helaas liggen er niet overal koppelingen, waardoor je een proces moet inrichten waarbij de aanpassing in alle systemen wordt doorgevoerd.

Niveau drie: het delen van persoonsgegevens met partners en leveranciers

Om je bedrijf draaiende te houden werk je samen met partners, zoals een boekhouder, verzekeraar en marketingbureau. Heb je inzichtelijk welke persoonsgegevens je met ze deelt? Wees er bewust van dat jij de bron bent van het delen van persoonsgegevens met hen. Wanneer je gegevens deelt met een partner, en een betrokkene verzoekt tot wijziging van zijn gegevens, dan moeten de persoonsgegevens in de gehele keten worden aangepast. Het is belangrijk om te weten hoe je partners persoonsgegevens verwerken en dat je een verwerkingsovereenkomst afsluit.

Een kans voor bedrijven

Na het zuur, dan nu het zoet. Voor transparante bedrijven is de wet een kans om zich te onderscheiden van de concurrentie. Door openheid te geven over de verwerking van persoonsgegevens toon je jouw klant, leverancier en medewerker aan dat je privacy een groot goed vindt en daar adequaat mee omgaat. Hiermee versterk je je betrouwbare reputatie en zullen mensen eerder geneigd zijn om te kiezen voor jouw bedrijf. En je bespaart meteen op je marketingkosten.

Een tip als afsluiter: schep de juiste verwachtingen

Zoals wel vaker maakt communicatie het verschil tussen een positieve en een negatieve ervaring. Net als met het ontvangen van een pakketje vind je het prettig om te weten waar het is en wanneer je aanwezig moet zijn om het te ontvangen. Als een betrokkene om opheldering van zijn persoonsgegevens vraagt, ben je verplicht binnen vier weken te reageren. Schep de juiste verwachtingen en informeer hem over de verwachte verwerkingstijd. Zo weet hij dat je zijn vraag serieus neemt en voorkom je het ontstaan van argwaan.

Meer weten over de rechten van betrokkenen?

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderde wet. Neem bij vragen contact op met onze informatiebeveiligingspecialisten. We helpen je graag.

Blog drie, Overzicht verwerkingen, verschijnt op 5 maart op ons blog.

Carmen Graauwmans
Wil je meer weten over de rechten van betrokkenen, stuur mij een bericht en ik neem contact met je op.

Contact

Contact

Meld je gratis aan voor Outsource IT 2019