Augustus is de maand van het #startuprecht! Elke werkdag een nieuw juridisch aandachtspunt voor startende bedrijven. Vandaag: hoe moet je omgaan met privacygegevoelige gegevens, wat de wet 'persoonsgegevens' noemt?
Misschien ben je van plan als startup een profielensite op te zetten. Of je wilt een mensenzoekmachine ontwikkelen. Of big data verzamelen over websitegebruik en daar slim in zoeken om passende advertenties, aanbiedingen of content te kunnen presenteren. Dan heb je een probleem, pardon een uitdaging: je verwerkt dan persoonsgegevens en de Wet bescherming persoonsgegevens vindt daar wat van.
Een persoonsgegeven is ieder gegeven dat direct of indirect een persoon betreft. Een naam of e-mailadres is een persoonsgegeven, maar ook een IP-adres of cookie met uniek nummer valt onder deze definitie. Zo’n cookie is immers gekoppeld aan een record in je database waar je informatie opslaat over gedrag of handelen door de persoon die bij dat cookie hoort.
Persoonsgegevens mag je in principe alleen verwerken met toestemming. Dit houdt in: expliciet vragen. Meer over toestemming in de blog van morgen. Zonder toestemming kun je alleen persoonsgegevens verwerken als dat nodig is voor het uitvoeren van een overeenkomst (zoals het afhandelen van een bestelling) of als je een eigen dringende noodzaak hebt die zwaarder weegt dan de privacy.
Daarnaast heb je een privacyverklaring nodig. Hierin leg je uit wat je allemaal doet. Hier komen we woensdag op terug, maar voor nu alvast één waarschuwing: ook al benoem je iets honderd keer in je privacyverklaring, je hebt nog steeds apart toestemming nodig. Toestemming kun je niet vragen in je privacyverklaring, en ook niet in je gebruiksvoorwaarden.
Het is belangrijk aan de privacywet te voldoen. Allereerst omdat mensen dat gewoon van je verwachten. Privacy wordt steeds belangrijker, en laten zien dat je netjes toestemming vraagt en uitlegt wat je doet, is een mooi pluspunt om als dienst je mee te profileren. Daarnaast is het gewoon verboden de privacywet te overtreden. Je kunt door de privacytoezichthouder op de vingers getikt worden en onder dreiging van tonnen aan dwangsommen verplicht worden je site aan te passen.
Er komt een Europese privacywet aan. Deze zal nóg strenger worden, met name waar het gaat om Big Data en gepersonaliseerd adverteren. Ook zullen de regels over beveiliging van data uitgebreider worden. Een belangrijke eis zal worden dat je software ontworpen is met security in het achterhoofd, en dit moet je kunnen aantonen. Regel dus nu alvast met je ontwikkelaar dat privacy by design ook bij jou ingebouwd is.
Je leest het in onze factsheet – Het recht voor startups!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.