Ook easyPOS moet voldoen aan de privacywetgeving die per 25 mei 2018 in gaat. Daarom zijn sinds kort onze cookieverklaring en privacyverklaring makkelijk terug te vinden op de site onder de knop “Privacy policy”. De privacyverklaring en cookieverklaring hebben betrekking op alle sites eindigend op easypos.nl.
In deze post gaan we in op de essentie van de Algemene Verordening Gegevensbescherming en wat dat voor retailers kan betekenen.
De essentie van de Algemene Verordening Gegevensbescherming
Per 25 mei 2018 gaat de nieuwe Europese privacy wetgeving in, de Algemene verordening gegevensbescherming. Deze wet geldt (ook) voor iedereen die voor zakelijke doeleinden gegevens van natuurlijke personen verzamelt, dus ook voor iedere retailer die een klantenbestand bij houdt.
Aan de hand van een aantal termen wordt de essentie van de verordening uitgelegd, zoals wij die als easyPOS zien en hoe dit zich verhoudt tussen de retailers (de klanten van easyPOS) en de klanten van de retailers.
Rechten
De Algemene Verordening Gegevensbescherming beslaat ongeveer 88 pagina’s en stukken over implicaties en verplichtingen naar aanleiding van deze verordening zijn soms nog langer. Aan deze korte samenvatting kunnen dus geen rechten ontleend worden.
Betrokkenen
Dit zijn die natuurlijk personen waarvan de gegevens verzameld worden. In het geval van een klantenbestand zijn dat de klanten. Bij een personeels- of salarisadministratie zijn dat de werknemers. Het risico moet voor de betrokkenen zo klein mogelijk zijn.
Persoonsgegevens
Dit zijn gegevens die herleid kunnen worden tot een natuurlijk persoon. Denk bijvoorbeeld aan naam, adres, telefoonnummer. Zolang je alleen deze gegevens verzamelt, is het risico beperkt. Op het moment dat je deze gegevens bijvoorbeeld verkoopt aan een leverancier, of iemand anders die op basis hiervan acties op gaat zetten of de gegevens combineert met andere databases, kom je automatisch in een hogere risicocategorie terecht. De verantwoordelijkheden en verplichtingen die daarbij horen zijn vele mate groter, dan wanneer je de gegevens alleen voor eigen zakelijk gebruik verzamelt.
Als we het hebben over EDI: in de salesrapporten wordt (naast wie het bestand verstuurt naar wie) alleen aangegeven welk artikel op welk moment is verkocht voor welke prijs en inkoopprijs. Niet aan wie dit is verkocht. Toch kan dit een privacygevoelig bestand zijn, als het een eenmanszaak is. Want nu zou je kunnen weten hoeveel de eigenaar heeft omgezet en verdiend. En dat is een privacygevoelig gegeven.
Bijzondere persoonsgegevens
Je komt automatisch in de hoogste risicocategorie terecht als je gegevens verzamelt die betrekking hebben op politieke opvattingen, godsdienst of als je medische persoonsgegevens (ras, genetisch, biometrisch, medisch, etc) verzamelt. Indien dat het geval is, worden de verplichtingen voor zowel de retailer als easyPOS vele mate groter. EasyPOS ziet dit liever niet, en behoudt zich in theorie het recht voor om dan de samenwerking op te zeggen.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor het verzamelen van de gegevens bepaalt. Dat is dus de retailer zelf voor zijn eigen klantenbestand, de retailer kiest er namelijk voor om klantgegevens te verzamelen, kiest welke gegevens hij verzamelt en heeft zelf gekozen voor easyPOS als systeem. De retailer is en blijft dus verantwoordelijk voor de veiligheid van zijn klantenbestand en zal passende technische en organisatorische maatregelen moeten treffen om de risico’s voor betrokkene zo beperkt mogelijk te houden.
Verwerker
De rol van easyPOS is die van verwerker. Als verwerker moet easyPOS er voor zorgen dat onze techniek en organisatie zo veilig mogelijk zijn. Dit betekent dat wij maatregelen treffen die passend zijn voor de aard van de gegevens en de bijbehorende risico’s voor betrokkenen. Passende maatregelen betekent dat een en ander in verhouding moet zijn. We hoeven geen Fort Knox te bouwen voor een telefoonnummer.
Maar ook de verwerkingsverantwoordelijke speelt een belangrijke rol in deze veiligheid. Om een voorbeeld te geven: wij hebben keurig alle maatregelen genomen, fort easyPOS is gebouwd en versterkt. Als je dan vervolgens het wachtwoord op een post it schrijft en op je monitor hangt waar iedereen het kan lezen…
Verzamelen van gegevens
Soms verzamel je klantgegevens aan de kassa in de winkel. Hierbij hoor je aan te geven welke gegevens je verzamelt, met welk doel en hoe lang je de gegevens gaat bewaren. Ook moet je aangeven of je deze gegevens met anderen deelt en zo ja met wie dan. Ook of je op basis van deze gegevens een profiel opstelt op basis waarvan beslissingen worden genomen die voor betrokkene grote gevolgen kunnen hebben. In de meeste gevallen zul je de gegevens verzamelen om een nieuwsbrief te kunnen versturen en/of contact op te kunnen nemen als een besteld item binnen is of het item te kunnen versturen. Voor die nieuwsbrief moet trouwens ook nog expliciet toestemming gegeven worden.
In andere gevallen komen de gegevens binnen via een website of webwinkel. Hierbij dien je eigenlijk dezelfde vragen te stellen, belangrijk is dat op websites geen vakjes al aangevinkt zijn. De bezoeker moet dat vinkje voor de nieuwsbrief of het accepteren van de algemene voorwaarden echt zelf zetten. Belangrijk is dat je je website voorziet van een cookieverklaring, waar bezoekers expliciet toestemming voor kunnen geven, en een privacyverklaring waarin wordt aangegeven welke gegevens je verzamelt, met welk doel en hoe lang je de gegevens gaat bewaren. Ook moet je aangeven of je deze gegevens met anderen deelt en zo ja met wie dan. Ook of je op basis van deze gegevens een profiel opstelt op basis waarvan beslissingen worden genomen die voor betrokkene grote gevolgen kunnen hebben.
Data Protection Impact Assesment
DPIA is een moeilijk woord voor een uitgebreide analyse van de processen met een hoger risico waarbij persoonsgegevens verwerkt worden. Denk hierbij bijvoorbeeld aan de personeels- of salarisadministratie. Of je zo’n DPIA ook moet doen voor je klantenbestand hangt af van welke gegevens je verzamelt en hoe je het risico inschat dat er iets mis gaat. Wij kunnen daar geen kant en klaar antwoord op geven en raden je aan om dit nader te onderzoeken op de site van Autoriteit Persoonsgegevens.
Verwerkingsregister
Een verwerkingsregister is verplicht als een verwerking niet incidenteel is. Het opvragen en opslaan is al een verwerking op zich. Het bijhouden van het klantenbestand is dus geen incidenteel gebeuren. U bent daarom verplicht een verwerkingsregister bij te houden.
Het is in de wet niet vastgelegd hoe dat moet en wat er precies in dat register moet, maar in ieder geval (kijk dit goed na op de site van Autoriteit Persoonsgegevens):
– naam/contactgegevens van de organisatie
– andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld
– organisaties waar u de gegevens mee deelt
– de doelen van de verwerking van de persoonsgegevens
– beschrijving van de categorieën personen van wie u gegevens verwerkt
– beschrijving van de gegevens die u verzamelt
– de datum waarop u de gegevens moet wissen
– de categorieën van ontvangers aan wie u de gegevens verstrekt
– als u de gegevens verstrekt aan een land of organisatie buiten de EU
– algemene beschrijving van de technische en organisatorische maatregelen die u heeft getroffen om de persoonsgegevens te beveiligen.
Wat betekent dit in de praktijk?
Dit betekent in de praktijk dat je als retailer in ieder geval:
– zorgt voor een up-to-date beveiliging van de eigen computer en het eigen netwerk (bijvoorbeeld door een up to date firewall en virusscanner te installeren)
– goed nadenkt over welke gegevens je wilt verzamelen
– goed nadenkt over van wie je gegevens wilt verzamelen
– goed nadenkt over hoe lang je deze gegevens wilt bewaren
– heel goed nadenkt over wie er toegang heeft tot welke gegevens
– goed nadenkt over de veiligheidsmaatregelen om de gegevens te beschermen
– een verwerkingsregister moet opstellen en bijhouden
Handige sites
In Nederland wordt door de Autoriteit Persoonsgegevens toezicht gehouden op de naleving van deze Europese verordening. De Nederlandse vertaling van deze verordening en wat deze precies inhoudt, kun je nalezen op hun website autoriteitpersoonsgegevens.nl. Ook is daar een uitgebreide handleiding te vinden, maar ook een aantal beknopte documenten met stappenplannen.
Ook de Kamer van Koophandel heeft een stappenplan Kamer van Koophandel.