Wegens de AVG/GDPR wetgeving die in mei 2018 ingegaan is wil Paylogic haar klanten helpen te voldoen aan de desbetreffende omschreven nieuwe wetgeving. Hieronder worden er enkele aandachtspunten, actiepunten of overwegingen omschreven die een bijdrage kunnen leveren. Als er verder vragen zijn omtrent het onderstaande kunt u contact opnemen met het Client Success Team.
1. Overzicht verwerking data
Maak een overzicht van alle persoonlijke informatie die je als organisatie verwerkt. Het moet duidelijk zijn welke vormen van (persoonlijke) data worden gebruikt, wat het doel hiervan is, waar deze is opgeslagen en wie hier toegang tot heeft.
Tip: Zorg ervoor dat je alle processen inzichtelijk maakt. Denk hierbij aan hoe er wordt omgegaan met (persoonlijke) data. Voorbeeld: Hoe worden deze gegevens verwijderd? In het geval dat je een e-mail ontvangt van een nieuwsbrieflezer, met het verzoek om (persoonlijke) data te verwijderen, dan moeten de gegevens van die persoon binnen 1 maand worden verwijderd. Zorg ervoor dat je dus aan deze eis kunt voldoen! Hetzelfde geldt voor het geval dat iemand zijn / haar gegevens wilt wijzigen.
2. Overweeg ‘’Privacy by design’’ & '’Privacy by default'’
‘’Privacy by design’’ houdt in dat je bij het ontwerpen van (nieuwe) producten en diensten rekening moeten houden met de bescherming van privacygevoelige informatie. Denk bijvoorbeeld aan een nieuw evenement of een nieuw product dat gekocht kan worden tijdens en/of voorafgaand aan het evenement.
‘’Privacy by default’’ betekent dat je alleen persoonlijke informatie verwerkt die noodzakelijk is om een specifiek doel te behalen. Iemand die bijvoorbeeld een ticket voor het evenement koopt en dat ticket per e-mail ontvangt, mag in een later stadium geen e-mail (zonder expliciete toestemming) met promotionele doeleinden ontvangen. Dat is namelijk niet noodzakelijk voor het specifieke doel. De organisatie is de verantwoordelijke omtrent wie welke gegevens en waar kan verwerken.
Tip: Het is van groot belang dat het privacybeleid met betrekking tot de verwerking van persoonlijke informatie in een duidelijke en begrijpelijke taal is opgenomen in je online documentatie. In het geval dat dit niet nagestreefd wordt, kan dit leiden tot wantrouwen bij de fans, wat een negatieve invloed kan hebben op jullie als organisatie. Wees dus transparant!
3. Voldoen aan de meldingseisen bij gegevensinbreuk
Tegenwoordig zijn steeds meer verhalen bekend van datalekken door hackers die vaker persoonlijke gegevens verzamelen. Echter, er zijn meer vormen van datalekken, zoals het verliezen van een bedrijfslaptop of het verzenden van een e-mail naar de verkeerde ontvanger met persoonlijke data. In alle omstandigheden met betrekking tot een datalek dien je de betrokkenen hierover te informeren. Wanneer dit ernstige gevolgen heeft voor persoonlijke gegevens, moet je dit binnen 72 uur melden bij de bevoegde autoriteiten. Het is dus van groot belang dat je er alles aan doet om een datalek te voorkomen.
Tip: Leg eventuele risico’s vast met betrekking tot jouw organisatie. Bekijk de procedures voor het documenteren en melden van datalekken. Volgens de AVG is het verplicht om zowel datalekken te melden als datalekken te documenteren, zodat deze vervolgens kunnen worden beoordeeld door de bevoegde Autoriteit Persoonsgegevens.
4. Hoe vraag je toestemming en hoe registreer je deze toestemming voor het gebruik van persoonlijke informatie?
De nieuwe wetgeving stelt strengere eisen met betrekking tot de toestemming die mensen moeten geven voor de verwerking van gegevens. Evalueer de manier waarop je de fans, nieuwsbriefabonnees, etc. om toestemming vraagt om hun (persoonlijke) gegevens te verwerken en hoe (veilig) deze geregistreerd wordt. Je moet kunnen aantonen dat jullie toestemming hebben verkregen voor de verwerking van persoonlijke gegevens.