Blog

  • Home
  • Blog
  • GDPR: Het einde der tijden? Een onderzoek

GDPR: Het einde der tijden? Een onderzoek

GDPR: Het einde der tijden? Een onderzoek

01 Nov 2017 | Ronald

De laatste tijd is de Algemene Verordening Gegevensbescherming (AVG) een veelbesproken wet. Hij staat ook wel bekend als GDPR (General Data Protection Regulation). Wat betekent dit nu eigenlijk? In deze blogpost beschrijf ik mijn eigen zoektocht naar antwoorden en probeer ik anderen uit te leggen wat er nu precies aan de hand is.

Als eerste vroeg ik mij af: Is deze wet nodig? Er zijn tenslotte al richtlijnen. De meest in het oog springende is de cookiewetgeving. Deze zorgde dat alle sites verplicht werden te melden wanneer zij cookies gebruiken. De bedoeling van de General Data Protection Regulation (GDPR) is dat het een allesomvattende wet wordt, die de huidige Europese richtlijn databescherming (https://nl.wikipedia.org/wiki/Richtlijn_95/46/EG) uit 1995 vervangt. Op zijn zachts gezegd is er sinds 1995 op het gebied van online ‘best veel’ veranderd, dus het is begrijpelijk dat die richtlijn niet meer alle facetten binnen het huidige internetlandschap beschrijft.

Wat mij direct opviel tijdens mijn onderzoek, is dat de GDPR helemaal geen nieuwe wet is. Sterker nog, de wet is al ruim een jaar van kracht (24 mei 2016 om precies te zijn). Waar komt die datum van 25 mei 2018 dan vandaan? Het zit zo: De EU heeft bepaald dat bedrijven niet direct in staat waren om zich aan alle nieuwe richtlijnen te houden, toen deze van kracht werd. Bedrijven hebben hiervoor 2 jaar de tijd gekregen, en die deadline ligt nu dus op 25 mei 2018.

Maar wat betekent de nieuwe wet nu eigenlijk?

Ik vond veel informatie, maar nergens één duidelijk overzicht met de gevolgen voor ons als agency, mij als consument en bedrijven waarbij data verzamelen core business is (zoals bijvoorbeeld HubSpot). Wat ik ook direct opmerkte, zoals wel vaker ontstaat bij nieuwe zaken waarvan mensen ‘niet precies weten hoe het zit’: Angst. Ik vond artikelen over “E-mail Marketing Armageddon”, “GDPR and the death of the email database“ en meer van dit soort juweeltjes. Frankwatching is wat positiever en schrijft “GDPR is een kans, ga er ook zo mee om!”. Veruit de meeste artikelen zijn zeer inhoudelijk en uitgebreid, maar geven me niet direct een concreet beeld van de daadwerkelijke veranderingen.

De belangrijkste veranderingen voor de GDPR

Dan maar de diepte in dus: wat gaat er allemaal veranderen? In feite is het vooral een aanscherping van een reeds bestaande wetgeving. Nieuw in de wet is bijvoorbeeld het recht op dataportabiliteit. Klanten hebben al langer recht op inzage in hun gegevens, maar nu moeten deze zodanig verstrekt worden dat deze op juiste wijze hergebruikt of doorgegeven kunnen worden aan een andere organisatie. De wet noemt dit “een gestructureerd, veelgebruikt en machineleesbaar formaat”. Als klant mag je al eisen dat de organisatie die jouw gegevens heeft verzameld, deze verwijdert. Na de wijziging geldt dit ook voor alle bedrijven aan die jouw data via deze organisatie hebben verkregen.

Het voordeel is in dit geval, dat alle losse wetgeving in verschillende landen gaat verdwijnen en er één centrale regelgeving komt. Zolang een bedrijf zich netjes aan de spelregels houdt is er niet veel aan de hand. De wet lijkt vooral bedoeld om de grote gegevensverwerkers aan te pakken. Neem bijvoorbeeld het opstellen van een GDPR projectplan of het aanstellen van een Functionaris voor de Gegevensbescherming (Data Protection Officer, DPO). Dit hoef je alleen als overheidsinstantie, wanneer je gevoelige persoonlijke informatie opslaat, of als je als organisatie op grote schaal data vergaard om mensen te monitoren. Wanneer je in die laatste categorie valt is overigens niet heel duidelijk omschreven in de wet.

Waar moet je opletten bij de GDPR?

HubSpot heeft een uitgebreide checklist opgesteld, welke je helemaal kunt volgen. Over het algemeen moet je als organisatie vooral letten op volgende punten:

  1. Transparantie
    Dit is voor marketingbureaus het magische woord in de nieuwe wet. Laat mensen weten welke data je verzamelt en waarom je dit doet. Zorg ervoor dat verzamelde gegevens makkelijk op te vragen zijn.
  2. Toestemming
    Zorg dat je op een eerlijke manier je data verkrijgt. Vraag bijvoorbeeld geen verplichte geboortedatum op om deze vervolgens te gebruiken om iemand op zijn verjaardag te mailen zonder dat je hiervoor toestemming hebt. Kort gezegd, is dit de kern van de wet. Het moet voor alle data duidelijk zijn, wanneer en met welk bewust doel deze door de bezoeker/gebruiker is gegeven.
  3. Type gegevens
    Zoals hierboven beschreven, zijn de regels binnen GDPR veel strikter wanneer je bijzondere gegevens verzamelt. Let dus goed op wanneer je te maken hebt met onderstaande gegevens:
    • Etnische achtergrond of ras
    • Politieke voorkeuren
    • Religieuze-, of levensbeschouwelijke overtuigingen
    • Vakbondslidmaatschap
    • Gezondheid
    • Seksuele oriëntatie en seksleven
    • Genetische en biometrische gegevens

Mijn conclusie

Het verzamelen van klantgegevens zonder dat de klant hiervan op de hoogte is, kon al niet. Gelukkig is dit nu heel wat duidelijker omschreven. Zeker voor Nederlandse bedrijven gaat het vooral om een aanscherping van bestaande regels. Het is vrij eenvoudig na te gaan of je handelt in een grijs gebied, of zelfs de regels overtreedt. Absoluut geen reden tot paniek dus en zeker geen einde der tijden. Organisaties die zich wel zorgen moeten maken verrijken het internetlandschap sowieso niet.

Meer lezen? Check dan deze bronnen:

Is jouw website snel genoeg?  Als je website meer dan 3 seconden nodig heeft om in te laden, ben je al bijna  de helft van je bezoekers kwijt. Toch hebben de meeste websites een gemiddelde  laadtijd van 10 seconden! Hoe snel is jouw website? Doe de gratis snelheidstest

Ronald Groot

Als projectmanager gebruikt Ronald zijn positieve can-do-mentaliteit om het beste uit zowel opdrachtgevers als collega's te halen.