In de uitzending van woensdag 9 mei werd Iris Koetsenruijter geïnterviewd over de nieuwe privacywet, de Algemene verordening gegevensbescherming. Niet alleen kunt u haar adviezen nog eens nalezen in dit artikel, ook gaan wij dieper in op de gestelde vragen.
In haar werk ziet Iris grotere bedrijven en overheden worstelen over wanneer je gegevens mag vragen van de consument, hoe lang je deze mag bewaren en voor welke doelen je deze mag gebruiken. Ook ontbreekt vaak het overzicht van welke gegevens de bedrijven allemaal hebben. Door dit inzichtelijk te maken, zetten organisaties de eerste stap om te voldoen aan de AVG.
Daarnaast krijgt zij veel vragen over het delen van gegevens met partners of toeleveranciers. Bedrijven zoeken naar een goede manier om gegevens met elkaar uit te wisselen. Het beste is om duidelijk in kaart te brengen wat je als organisatie precies doet en of dit gerechtvaardigd is. Daarna is het belangrijk om te kijken of jouw organisatie zorgvuldig met de gegevens omgaat. Hierbij kan je nadenken over hoe je de beveiliging regelt, hoe je klanten informeert en wat je met hun gegevens doet.
“Deze vraag hoor ik vaak, zowel bij grote bedrijven als bij bijvoorbeeld sportverenigingen. Volgens de toezichthouder moet je altijd toestemming vragen voor je foto’s op de website plaatst. Voor veel organisaties is dit heel veel werk. Daarom kan je hier het beste zo praktisch mogelijk te werk gaan. Zo kan je nieuwe leden om toestemming vragen op het moment dat zij lid worden. Zorg er in ieder geval voor dat iedereen wordt geïnformeerd over het maken en plaatsen van de foto’s. Als iemand zijn toestemming later alsnog intrekt, moeten de foto’s van deze persoon van de website worden verwijderd.”
“De toezichthouder verwacht dat ook bezoekers van evenementen toestemming geven voor het plaatsen van hun foto’s. Dit soort eisen zijn niet werkbaar, dat zie ik dagelijks in mijn werk. Je zou hetzelfde doel kunnen bereiken door bezoekers algemeen op het terrein te informeren en hen de mogelijkheid geven om bezwaar te maken. Wel vraagt dit om een andere kijk van de toezichthouder.”
“Dit mag alleen als de uitzending op een afgeschermde internetpagina voor leden wordt vertoond. Dit betekent dat je een wachtwoord op de pagina moet zetten en de pagina moet afschermen voor zoekmachines. Daarnaast is dit alleen toegestaan als de ledenvergadering dit heeft goedgekeurd. Anders moet je aan alle leden afzonderlijk toestemming vragen. Het mag dus wel, maar onder strikte voorwaarden.”
“Deze vraag zien we bij multinationals, overheden en het MKB. Helaas is hier geen eenduidig antwoord op te geven. Er bestaan geen duidelijke regels over bewaartermijnen. Wel zijn deze soms in de wet vastgelegd. Voor belastingdoeleinden moet je als bedrijf bepaalde gegevens zeven jaar bewaren. Voor alle andere doelen waarvoor je als bedrijf klantgegevens verwerkt, moet je zelf bepalen wat een redelijke bewaartermijn is. Bijvoorbeeld: bewaar je gegevens alleen voor de garantieperiode of ook om een nieuwe aanbieding te kunnen doen? En, heb je daar alle gegevens voor nodig die je oorspronkelijk ontvangen hebt? Het is belangrijk dat je goed kunt onderbouwen waarom je een bepaalde bewaartermijn hanteert. Het uiteindelijke oordeel ligt bij de toezichthouder of rechter.”
Benieuwd naar de uitzending met Iris? Deze is te bekijken via de website van Nieuwsuur.