Het is bijna zover: op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) — wereldwijd bekend als de Europese General Data Protection Regulation (GDPR) — van kracht. Bedrijven hebben nog krap vier maanden de tijd om zich voor te bereiden op de effecten.

De GDPR-wetgeving verplicht iedereen die persoonsgegevens verwerkt (en dat zijn bijna alle organisaties) om deze informatie goed te beschermen. Ook worden de privacy rechten van betrokkenen — bijvoorbeeld klanten, consumenten, werknemers en burgers — verder uitgebreid.

Is GDPR belangrijk voor mij?

Grote kans van wel.

Tegenwoordig heeft vrijwel ieder bedrijf te maken met persoonsgegevens: van de eigen medewerkers, maar ook van sollicitanten en andere arbeidskrachten. Daarnaast kan het zo zijn dat je persoonsgegevens in opdracht van anderen beheert en/of bewerkt.

De crux zit hem in de definitie van persoonsgegevens. Hieronder verstaat GDPR alle bestanden die een persoon kunnen identificeren, zoals namen, adressen en telefoonnummers — maar ook je GPS-locatie, posts op sociale netwerksites en data gekoppeld aan IP-adressen en cookies. Tel alles bij elkaar en je krijgt een aardig beeld van de invloed en omvang van GDPR.

Wat betekent GDPR voor mijn app?

Het beschermen van de privacy van app-gebruikers is een gezamenlijke verantwoordelijkheid van de aanbieder en de softwareprovider. Dit betekent dat je samen aan de slag moet. En dat gaat verder dan het beschermen van persoonsgegevens; het gaat ook over het verwerken van locatie- en gebruiksdata, usernames enzovoort.

Sluit een verwerkersovereenkomst af.

Worden persoonsgegevens van de gebruikers van jouw oplossing op welke manier dan ook bewerkt (beheren, doorgeven, verrijken)? Dan is dit verplicht.

Leg een verwerkingsregister aan.

Registreer waar, wanneer en op welke manier persoonsgegevens worden opgeslagen en hoe de toegankelijkheid tot die data is ingeregeld. Bescherming van gebruiksgegevens moet altijd de hoogste prioriteit hebben.

Regel de juiste processen in.

Mobiele oplossingen genereren enorme hoeveelheden data over de gebruikers zoals locaties, gebruiksdata, accounts et cetera. GDPR biedt gebruikers het recht deze informatie te laten verwijderen (right to be forgotten). Hiervoor moet je een proces inregelen. Daarnaast heb je processen nodig voor het veilig opslaan van data (encryption policies) én een proces voor het geval er iets misgaat (binnen 72 uur moeten de autoriteiten geïnformeerd worden).

Privacy by design.

Het is verleidelijk om zoveel mogelijk data van je gebruikers te vergaren. Met de invoering van GDPR is het nog belangrijker om kritisch te zijn over welke informatie essentieel is voor een goede dienstverlening. Blijf dus altijd scherp. Vraag aan je gebruikers alleen het hoogstnoodzakelijke. Hou hier al rekening mee in de concept- en designfase van je product. Dit is fijn voor de gebruiker, zorgt voor een betere user experience en maakt het beheer een stuk veiliger en minder complex.

Waarom moet ik nú actie ondernemen?

  • Het niet naleven van GDPR kan je organisatie fikse boetes en reputatieschade opleveren.
  • GDPR verandert de manier waarop je organisatie werkt en raakt potentieel bijna alle afdelingen — van sales en marketing tot finance en HR.
  • Hoe groter de organisatie, hoe complexer het proces. Grotere organisatie zullen GDPR-audit processen moeten opstellen waar je nieuwe medewerkers, rollen of expertises voor nodig hebt.
  • Mogelijk dien je met al je toeleveranciers en klanten nieuwe contracten op te stellen.

Wat moet ik doen?

GDPR-ready worden is een bedrijfsbrede verantwoordelijkheid. Het goede nieuws is dat je online verschillende stappenplannen vindt om je te helpen.

Ons advies: start met een Risk Assessment; dan weet je direct waar je aan toe bent. Maak gebruik van de uitgebreide documentatie en lees jezelf goed in. Neem contact op met je leveranciers en maak (samen!) een plan. Neem vervolgens de nodige maatregelen om privacy te waarborgen en jouw organisatie goed in te richten. Op het WWW vind je veel specialisten die je kunnen helpen.

 

Meer weten?

Dieper in de gevolgen voor jouw app duiken? Van gedachten wisselen? Of overweeg je een app, maar twijfel je over de invloed van GDPR op je business? Neem contact op!