Best practices Branche - / Beroepsverenigingen Customer Experience Events HR & arbeidsmarkt ICT / Tech In de media Juice Management Misstanden Opinie Partner Content Vraag & Antwoord We go way back

Woordenboek

AVG – GDPR

GDPR (General Data Protection Regulation) – of in het Nederlands: AVG (Algemene Verordening Gegevensbescherming) – is van grote invloed op de klantenservice. GDPR is een van de belangrijkste privacy- en beveiligingswetten ter wereld. Het niet naleven van de AVG kan leiden tot hoge boetes. Het is dus van groot belang dat organisaties hun processen en procedures op orde. Zo zorgen ze ervoor dat ze aan de vereisten van de AVG voldoen.

Wat is GDPR of AVG?

GDPR (Engels) of AVG (Nederlands) is een Europese wetgeving die de privacyrechten van individuen beschermt en regels vaststelt voor het verzamelen, verwerken en opslaan van persoonlijke gegevens door bedrijven en organisaties. De AVG is van kracht sinds mei 2018 en stelt strengere eisen aan organisaties met betrekking tot het beheer van persoonlijke gegevens van Europese burgers. 

De GDPR bevat onder andere regels voor het verkrijgen van toestemming van individuen voor het verzamelen en verwerken van hun persoonlijke gegevens, de verplichting om de beveiliging van persoonlijke gegevens te waarborgen en individuen de mogelijkheid te bieden om hun gegevens in te zien, te wijzigen en te laten verwijderen.

Autoriteit persoonsgegevens

De Autoriteit Persoonsgegevens is de Nederlandse onafhankelijke toezichthouder op het gebied van privacy en de bescherming van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van wet- en regelgeving met betrekking tot persoonsgegevens zoals de AVG.

De AP heeft verschillende taken, waaronder:

  • Het adviseren van overheden, bedrijven en burgers over privacy- en gegevensbeschermingskwesties
  • Het behandelen van klachten en het opleggen van sancties bij overtredingen van de wetgeving 

Het doel van de Autoriteit Persoonsgegevens is om de privacy van individuen te beschermen. Ook moet de AP waarborgen dat persoonsgegevens op een juiste en veilige manier worden verwerkt.

Richtlijnen van de GDPR

De GDPR bevat verschillende richtlijnen voor het verzamelen, verwerken en opslaan van persoonlijke gegevens. Enkele belangrijke richtlijnen zijn:

  1. Het verkrijgen van toestemming van individuen voordat persoonlijke gegevens worden verzameld, verwerkt of opgeslagen 
  2. Het informeren van individuen over welke gegevens worden verzameld, hoe ze worden verwerkt en hoe ze worden beveiligd 
  3. Het toestaan van individuen om hun persoonlijke gegevens op elk moment in te zien, te controleren, te corrigeren en te verwijderen
  4. Het nemen van passende maatregelen om persoonlijke gegevens te beschermen tegen ongeautoriseerde toegang, verlies of diefstal 
  5. Het melden van eventuele inbreuken op de gegevensbeveiliging bij de toezichthoudende autoriteit en betrokken individuen 
  6. Het overwegen van privacy bij het ontwerpen en ontwikkelen van nieuwe producten en diensten 
  7. Het toestaan van individuen om hun persoonlijke gegevens over te dragen van de ene organisatie naar de andere 
  8. Het voldoen aan de boetes en sancties die zijn opgelegd door de AVG als er inbreuk wordt gemaakt op de richtlijnen van de AVG

Bereidwillige toestemming en het “recht om geïnformeerd te worden”

Toestemming is een van de belangrijkste punten van de AVG. Het belangrijkste om te onthouden is dat als de organisatie gegevens verzamelt en verwerkt van klanten, de toestemming van de klanten nodig is. In de informatie over de dataverzameling moet staan hoe de organisatie van plan is klantinformatie te verwerken in het privacybeleid.

Bereidwillige toestemming

Bereidwillige toestemming is de toestemming die klanten geven voor het verzamelen, verwerken en opslaan van hun persoonlijke gegevens door een organisatie. Dit gebeurt bijvoorbeeld als een klant een formulier invult of als diegene akkoord gaat met de algemene voorwaarden van een website of dienst.

Volgens de AVG moeten organisaties kunnen aantonen dat klanten “bereidwillig” toestemming hebben gegeven voor het verzamelen en verwerken van hun persoonlijke gegevens. Dit betekent dat de toestemming vrijwillig is verkregen door specifieke en ondubbelzinnige informatie te geven. Klanten moeten begrijpen wat er met hun gegevens zal gebeuren en moeten de mogelijkheid hebben om hun toestemming op elk moment in te trekken.

Het “recht om geïnformeerd te worden”

Het “recht om geïnformeerd te worden” is een ander belangrijk aspect van de GDPR. Dit houdt in dat organisaties klanten duidelijk moeten informeren over welke persoonlijke gegevens zij verzamelen, hoe ze deze gegevens verwerken en voor welke doeleinden de organisaties deze gegevens gebruikt. Klanten moeten begrijpen hoe hun gegevens worden beschermd en welke rechten ze hebben met betrekking tot hun persoonlijke gegevens.

Organisaties moeten klanten bijvoorbeeld informeren over hoe zij de klantgegevens gebruiken om een klacht af te handelen of om technische ondersteuning te bieden. Ook moeten organisaties klanten op de hoogte stellen van eventuele wijzigingen in het privacybeleid of de algemene voorwaarden die van invloed kunnen zijn op hun persoonlijke gegevens.

Houd bij de klantenservice dus rekening met het belang van het verkrijgen van bereidwillige toestemming van klanten. Houd ook het belang over het informeren van klanten over het gebruik van hun persoonlijke gegevens in acht. Het naleven van de AVG-richtlijnen helpt om het vertrouwen van klanten te vergroten en ervoor te zorgen dat hun persoonlijke gegevens veilig en beveiligd worden verwerkt.

GDPR Audit

Een GDPR gegevensaudit is een onderzoek naar de manier waarop een organisatie persoonlijke gegevens verzamelt, gebruikt, bewaart en beschermt. Het doel van de audit is om ervoor te zorgen dat de organisatie voldoet aan de vereisten van de AVG. Ook kun je hiermee eventuele risico’s op inbreuken op de gegevensbescherming identificeren.

Tijdens een AVG gegevensaudit zal een auditor de volgende zaken onderzoeken: 

  • Welke soorten persoonlijke gegevens de organisatie verzamelt en verwerkt 
  • Het doel van de gegevensverwerking 
  • Op welke manier de organisatie gegevens bewaart en beveiligt
  • Het proces voor het aanvragen van toestemming van individuen voor het verzamelen en verwerken van hun persoonlijke gegevens 
  • De procedures voor het verwijderen van persoonlijke gegevens wanneer deze niet langer nodig zijn 
  • De maatregelen die de organisatie neemt om gegevenslekken te voorkomen en te detecteren 

Op basis van de bevindingen van de audit, doet de auditor aanbevelingen doen om eventuele tekortkomingen te corrigeren. Ook zorgt de auditor er hiermee voor dat de organisatie voldoet aan de vereisten van de AVG.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z