Hoe is de business case van uw marktpropositie vervlochten met privacy? En hoe kunnen privacy keuzes uw business case onderscheidend maken? Newest Industry levert oplossingen waarbij privacy één van de centrale uitgangspunten is. Maar ook sparren wij graag met u over hoe privacy kan worden ingepast binnen uw business case, en hoe uw business case zich verhoudt tot de nieuwe privacy wetgeving die reeds van kracht is en vanaf 25 mei 2018 wordt gehandhaafd: de Algemene Verordening Gegevensbescherming (General Data Protection Regulation, GDPR).

Een korte introductie tot de GDPR

De GDPR vormt het nieuwe wettelijke kader voor de privacybescherming van EU burgers. Deze verordening is een aanscherping van eerdere Europese richtlijnen op het gebied van privacy en vervangt de Nederlandse Wet Bescherming van Persoonsgegevens. Vijf punten om op dit moment al te onthouden met betrekking tot de GDPR:

  • De GDPR geldt al
    Maar wordt pas gehandhaafd vanaf 25 mei 2018.
  • De GDPR ziet toe op bescherming van data van EU burgers
    En heeft ook gelding buiten de EU. Online concepten en diensten van buiten de EU moeten dus ook voldoen aan deze regelgeving als het gaat om de verwerking van persoonsgegevens van EU burgers.
  • De GDPR bevat een ruimere definitie van persoonsgegevens
    Waardoor gegevens dus sneller als persoonsgegeven gekwalificeerd worden. Ook gegevens die daar nu wellicht niet onder vallen. Denk bijvoorbeeld aan gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke onder de wet. Ook als u niet weet hoe de persoon achter een cookie heet, dient u dat gegeven te behandelen als privacygevoelig.
  • Meldingsplicht datalekken
    De GDPR verplicht overheden en bedrijven om datalekken te melden bij de nationale autoriteiten.
  • De GDPR bevat zwaardere sancties in het geval van overtreding
    Boetes kunnen oplopen tot maximaal 20 miljoen euro of 4 procent van de jaaromzet bij internationale bedrijven.

Privacy is meer dan compliance

We horen u denken: “ah, weer een afvink-lijstje met eisen waaraan we moeten voldoen.” Maar de GDPR is veel meer dan een compliance vraagstuk. Met de GDPR neemt het belang van privacy voor online persoonlijke dienstverlening toe. Dit is in lijn met het principe van ‘privacy by design’ op basis waarvan Newest Industry haar oplossingen bouwt. Op de eerste plaats vereist de GDPR dat uw bedrijfsorganisatie en –processen aantoonbaar op orde zijn én worden gehouden. Maar de GDPR heeft ook commerciële implicaties. Door de GDPR kan privacy een onderscheidend element van uw marktpropositie worden.

Kansen en consument centraal

Kortom, de GDPR biedt niet zozeer beperkingen en aanscherpingen, maar ook een aantal grote kansen. Deze kansen kunnen reeds bij het uitdenken van nieuwe concepten worden verkend. Om de ontwerpkeuzes scherp te krijgen is het van belang om te denken vanuit data(stromen) en platformen en hierbij de consument als uitgangspunt te nemen. Daarnaast vraagt de GDPR een verdere optimalisatie op het niveau van uw organisatie en bedrijfsprocessen.

Maar waar stelt GDPR dan precies allemaal eisen aan? De GDPR beschrijft voorwaarden waaraan bedrijven binnen de EU moeten voldoen die (gaan) werken met persoonsgegevens. Heeft uw organisatie een concept ontwikkeld waarbij persoonlijke dienstverlening een plaats heeft? Houdt dan rekening met de volgende vereisten:

Noodzakelijkheid dataverwerkingHet verwerken van de data moet adequaat, relevant en beperkt zijn tot die doelen waarvoor de verwerking van de data noodzakelijk is
Expliciete toestemmingDe standaard is dat expliciet toestemming moet worden gegeven voor het opslaan van persoonsgegevens door de persoon van wie deze gegevens zijn
Plichten databewerkersOok databewerkers hebben directe plichten als het gaat om de beveiliging van data
Beperking duur van opslagOpslag van de data voor minimale lengte in tijd
Adequate databeschermingPersoonsgegevens moeten goed beschermd worden tegen ongeautoriseerde toegang, bewerking en verlies, bijvoorbeeld met behulp van encryptie en pseudonimisering (anonimisering) van data
Data Privacy OfficerBedrijven die stelselmatig en structureel persoonsgegevens gebruiken voor observatie van klantengedrag moeten een data privacy officer (DPO) benoemen
Beschikking over data door subject / eigenaarIeder relevant persoon heeft het recht op toegang tot zijn/haar eigen persoonsgegevens, het bewerken of beperken van toegang tot hun data of het verwijderen van (delen van) zijn/haar data

Newest Industry & GDPR

Wilt u sparren over optimale voorbereiding op nieuwe (privacy) wetgeving, privacy by design en het inpassen van privacy in uw business case? Neem contact op met Newest Industry. Wij denken graag strategisch, conceptmatig en businesswise met u mee! (En we hebben heerlijke koffie, zowel in Rotterdam als in Bergen op Zoom)