Wanneer je als start-up begint, is het noodzaak meteen de privacy in acht te nemen. Waarmee begin je precies en wat is er nodig?
Als eenmanszaak is er op privacy-gebied nog niet veel aan de hand. Echter, zodra je ook maar één klant, één werknemer of webshop hebt en/of nieuwsbrieven uitstuurt, dan wordt het wel zaak hierover na te denken. Er vindt dan namelijk een verwerking van persoonsgegevens plaats. Hoe groter je wordt, hoe belangrijker het wordt de privacy regels in acht te nemen.
Hierbij geef ik je een kort overzicht van waar je dan zoal aan moet denken.
Wat je ook gaat doen, het begint met een goed overzicht van de verwerkingen: welke gegevens worden er verzamelt en van wie, waar worden deze opgeslagen en aan welke andere partijen worden deze gegeven. Vandaaruit is het relatief makkelijk om de vereiste documentatie op orde te krijgen en te houden.
Bij een webshop is het bijv. belangrijk om na te denken wat je ermee doet. Verzamel je gegevens van bezoekers en wat is het doel ervan? Zijn de cookies functioneel en/of analytisch of niet noodzakelijk, maar wel nuttig? Wat de cookies doen, dient beschreven te worden in de privacy (cookie) statement, welke zichtbaar op de website wordt geplaatst en er dient eventueel een banner voor toestemming te worden geplaatst.
Indien je ook klanten in je systeem hebt, dan is het goed inzichtelijk te hebben en te maken welke gegevens je verzamelt, waar je deze vastlegt, op welke grondslag je dit doet (bv contract, gerechtvaardigd belang, toestemming), maar zeker ook hoelang deze gegevens bewaard worden en bij wie ze terecht kunnen voor vragen en/ of verzoeken. Denk ook aan de werknemers en eventuele sollicitanten. Ook hier moet één en ander worden vastgelegd en overeenkomstig actie worden ondernomen, bijv. vooraf informeren of het vastleggen van toestemming.
Stuur je nieuwsbrieven naar je klanten? Dat kan, maar het is wel van belang aan te kunnen tonen dat je dit doet op basis van specifieke en ondubbelzinnig gegeven toestemming van de klant. Leg deze dus goed vast. Geef daarnaast in iedere nieuwsbrief de mogelijkheid om te kunnen uitschrijven voor de nieuwsbrief (opt-out) en zorg dat dit ook echt gebeurt. Ervaring leert namelijk dat na een tijdje de mailing naar uitgeschreven e-mailadressen soms gewoonweg weer doorgaat.
Om welke persoonsgegevens het ook gaat, vergeet vooral niet aan welke derde partij je deze gegevens geeft: zodra derde partijen deze gegevens ontvangen, opslaan en verwerken op jouw verzoek, dan dient er al dan niet iets afgesloten te worden met deze partijen. Hoe en wat hangt af van de locatie van deze derde partij (denk aan verwerkersovereenkomst of SCCs).
Kortom, in het begin is privacy misschien nog niet zo spannend, maar hoe meer het bedrijf groeit, hoe meer gegevens er worden verzameld. Om het later nog eens allemaal op orde te brengen, dat kost meer tijd en geld, laat staan dat je onderwerp kan worden van een onderzoek door een privacy autoriteit. Dus, een goed begin...
*** Kan ik je wellicht ergens bij helpen, laat het me gerust weten ***
Add comment
Comments