Duidelijke antwoorden Mathieu Paapst op vragen over GDPR

Het zal de lezer zijn opgevallen dat ISP Today de laatst tijd regelmatig stilstaat bij de GDPR. Dat doen we omdat het een onderwerp is dat grote impact zal hebben op letterlijk alle geledingen van de markt. Naarmate de bekend/beruchte datum van 25 mei 2018 naderbij komt horen we ook steeds vaker over valkuilen en onderschatte bestaande situaties.

Tot die laatste categorie behoren zeker de punten die Mathieu Paapst van ICTRecht bij zijn presentatie tijdens het door Embrace, Umbrella en Insite Security georganiseerde congres Security Today and Tomorrow. Op een van de slides die Mathieu presenteerde ging het over de toestemming die gegeven moet worden om data, waarmee personen kunnen worden geïdentificeerd, te mogen publiceren. Door een vraag uit de zaal werd specifiek stilgestaan bij de situatie op de werkvloer. Dat maakte duidelijk dat voor sommige zaken, die we allemaal kennen, nooit expliciet toestemming is gevraagd aan de betrokkenen. Als je daar verder over nadenkt zijn er na mei 2018 mogelijk consequenties voor drie vormen van datagebruik die nu veel voorkomen.

  1. Het smoelenboek van de medewerkers online zetten om een beter klantcontact mogelijk te maken.
  2. De referentie cases, waarbij klanten herkenbaar worden
  3. De lijstjes met prospects (klantenen medewerkers) waarvan de herkomst niet altijd even helder is

We hebben Mathieu gevraagd hoe hij dat ziet. Verandert er daar iets per mei 2018? Het antwoord dat we per mail ontvingen staat hier onder integraal weergegeven.

– quote –

  1. Voor een online smoelenboek dien je je eerst af te vragen of het smoelenboek absoluut noodzakelijk is om de arbeidsovereenkomst uit te kunnen voeren. Dat is bijvoorbeeld het geval indien herkenbaarheid van de persoon essentieel is voor de betreffende functie. Als dat niet het geval is dan zul je expliciet toestemming moeten vragen aan de werknemer. Die toestemming moet echter vrijwillig kunnen worden gegeven. Daarvan is geen sprake indien weigering nadelige gevolgen voor de betrokkene kan hebben. Gelet op de gezagsverhouding tussen een werkgever en een werknemer, waardoor deze niet echt volledig vrij is om te weigeren, zijn dergelijke toestemmingsverklaringen niet rechtsgeldig. Je zult dus je bestaande smoelenboek op z’n minst onder de loep moeten nemen, en je moet je afvragen hoe je hier in de toekomst mee om moet gaan.
  2. Waar het gaat om referentiecases waarbij een medewerker van een klant aan het woord en herkenbaar in beeld komt, was het op grond van het portretrecht altijd al noodzakelijk om voor publicatie eerst toestemming te vragen aan de geportretteerden. Dit vanwege de commerciële bedoelingen van de gebruiker van de referentiecase. Tot nu toe werd dat natuurlijk vaak impliciet gedaan, en ging men er vanuit dat de geportretteerde met de toestemming voor het laten afnemen van een interview tevens akkoord ging met verspreiding. Dat mag echter niet meer. Je moet dat straks expliciet en afzonderlijk gaan vragen aan de geïnterviewden, waarbij je duidelijk aan geeft waar de de gegevens voor gaat gebruiken.
  3. De grootste verandering zal zich echter gaan voordoen op het gebied van de lijstjes met prospects waarin persoonlijke emailadressen of telefoonnummers staan opgenomen. Marketeers en sales afdelingen zullen als verwerkingsverantwoordelijke verplicht gaan worden om prospects op het moment van het eerste contact, of uiterlijk binnen een maand na de verkrijging van de gegevens, op de hoogte te brengen van de identiteit en contactgegevens van de verwerkingsverantwoordelijke, de doeleinden waarvoor de persoonsgegevens worden verwerkt en de rechtsgrond voor de verwerking, de bewaartermijn van de gegevens, en de bron waar de gegevens vandaan komen, met inbegrip van openbare bronnen. De betrokkene moet ook op zijn recht gewezen worden om bezwaar te maken, en om wissing te verzoeken. Wat dit betreft worden de diverse vormen van outbound marketing nog verder aan banden gelegd.

De AVG raakt vrijwel alle organisaties. Mijn aanbeveling zou daarom zijn om eerst goed te inventariseren welke gegevens er nu al allemaal in je organisatie verwerkt worden, waar ze vandaan komen, aan wie je ze geeft en wat de bewaartermijnen zijn. Vervolgens kun je dan gaan kijken op welke wijze je rekening moet gaan houden de nieuwe rechten van betrokkenen, en of je de juiste juridische waarborgen geïmplementeerd hebt.

– unquote –

De drie antwoorden van Mathieu zetten aan het denken en stemmen somber. De kans dat de sector aan de slag moet hier orde op zaken te stellen schatten wij voorzichtig in op ruim 90%. Het lastige is daarbij dat dit voor de meeste providers niet de corebusiness is, maar zaken betreft die er min of meer bij gedaan worden. Dat argument zal echter geen indruk maken bij klagers of toezichthouders. Effectief zijn er nog 11 maanden om de stappen te zetten die Mathieu adviseert. Het is de hoogste tijd stappen te nemen om  GDPR compliant te worden.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.