deelthema meetup 14 september a.s.
Onder de LOSmakers zijn L&D-ondernemers. Veel van hen werken als zelfstandige zonder personeel (zzp’er.  Sommigen werken in een netwerk samen met één of meerdere collega zzp’ers. Heeft de nieuwe GDPR ook invloed op het werk en handelen van de zelfstandige L&D-ondernemer?

Leg je op één of andere manier persoonsgegevens van klanten of gebruikers van je producten en diensten vast? En verwerk je die gegevens? Als het antwoord daarop ja is, dan heb je met de nieuwe strengere regels te maken. Essentieel is hoe je de privacy en veiligheid van die persoonsgegevens beschermt. Dat krijg je scherp als je in beeld brengt: welke data heb ik en verwerk ik, waar staan die gegevens en wat doe ik er mee. Om gegevens vast te leggen heb je vooraf toestemming nodig van betrokkene. Het moet helder zijn waarvoor precies toestemming is gegeven. Dat betekent dat je specifiek bent in waarvoor je toestemming vraagt en betrokkene aantoonbaar daar goed over informeert. Toestemming moet ook net zo makkelijk weer kunnen worden ingetrokken.

Je hebt ook als zzp’er een documentatieplicht. Je legt vast:

  • doel van de verwerking;
  • categorieën, bewaartermijnen resp. ontvangers van persoonsgegevens;
  • algemene beschrijvingen van de genomen technische en organisatorische maatregelen van privacybescherming en veiligheid.

Er is verder de meldplicht datalekken. Een datalek moet onverwijld gemeld aan de betrokkenen, als de inbreuk in hoge mate een risico voor hun rechten en vrijheden meebrengt. Bij hoog risico moet de inbreuk binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.

Hoe de GDPR doorwerkt in de praktijk van de zelfstandige L&D’er, illustreer ik hieronder voor marketingactiviteiten en het leveren van een online product.

Marketing
Je verzamelt de contactgegevens van je (potentiële) klanten, je doet maandelijks een (online) nieuwsbrief uit of  je biedt je klanten half jaarlijks een gratis reflectiegesprek aan. Voor dit soort activiteiten, zowel online of offline, geldt het toestemmingsrecht.
Binnen 72 uur moet je kunnen aantonen dat een contact (lead) toestemming heeft gegeven (een opt-in) om benaderd te worden door jou. Is er tussen jou en het contact 24 maanden  lang geen actie meer geweest dan moet je de opt-in vernieuwen om de contactgegevens weer te mogen gebruiken. Anders mag je die gegevens niet meer gebruiken en bewaren.
Je wil nieuwe klanten werven en gaat daarom over tot ‘direct marketing’.  Net als nu mag je straks onder de regels van de GDPR een persoon of organisatie bellen of post sturen met een aanbod zonder dat je daarvoor toestemming hebt. Wel moet je de betrokkene de mogelijkheid bieden om zich af te melden voor benadering (opt-out). Maar als je een aanbod verstuurt via een digitaal kanaal, zoals e-mail, fax of sms, heb je wel voorafgaande toestemming nodig.

Stel je biedt online leren aan. Het systeem wat je daarbij gebruikt, bevat een onderdeel Learning Analytics. Daarmee wil je profielen kunnen maken van je deelnemers. Dit om je eigen product te kunnen verbeteren en beter af te stemmen op de verschillende deelnemers. Profilering op zichzelf mag, maar dat verandert als er besluiten worden genomen op basis van deze profielen.  Een goede uitleg over dit aspect geeft dit artikel.

Product
Wie leertrajecten ontwikkelt binnen online tools en daarbinnen persoonlijke data vastlegt en verwerkt, zal bij het ontwikkelen al rekening moeten houden met het eerder genoemde toestemmingsrecht. Neem in het ontwerp de bescherming van de data mee (privay by design) Lever je het product af aan een opdrachtgever, die er vervolgens geheel zelfstandig mee verder gaat, dan is de opdrachtgever zowel verantwoordelijke als bewerker van de persoonsgegevens. Lever je het product af, maar blijf jij geheel of gedeeltelijk betrokken bij het werken daarmee. Stel dan vooraf vast of daadwerkelijk sprake is van het verwerken van persoonsgegevens bij het werk dat jij nog blijft doen voor de organisatie.  Als dat het geval is, leg de afspraken hierover dan vast in een zgn. bewerkersovereenkomst. Een voorbeeld uit de accountantbranche vind je hier.

Voor wie de woordenbrij teveel is, zijn hier twee informerende filmpjes:

  • My data, my choice, what you need to know over the EU’s privacy law: video
  • De GDPR: toelichting bij de nieuwe privacyregels: video
    Noot: KMO staat voor Kleine en Middelgrote Ondernemingen. In het Nederlands MKB.

Hoe de GDPR verder uitwerkt voor de zelfstandig L&D-ondernemer? De meetup op 14 september a.s. biedt volop ruimte om de eigen inzichten, ervaringen en gedachten hierover met elkaar te delen.

Meld je voor de meetup.