Bart Madou
Digital Marketeer
Op 25 mei 2018 treedt de AVG (Algemene Verordening Gegevensbescherming) in werking. Deze geldt voor de hele Europese Unie en betreft een privacyverordening die heel wat onrust veroorzaakt. Je hebt er vast al over gehoord, maar wat houdt de nieuwe verordening in voor jou en jouw organisatie? De juridische tekst is soms lastig naar de praktijk te vertalen. Duidelijke zienswijzen zijn er nog maar in beperkte mate en jurisprudentie is er nog niet.
Wat houdt de AVG in?
De verordening heeft als doel de privacy en persoonlijke gegevens van Europese burgers te beschermen en om beter aan te sluiten bij de huidige technologische ontwikkelingen. Ook de e-privacy richtlijn wordt aangepast in lijn met dezelfde principes als de AVG.
Na het introduceren van de AVG hebben de consumenten alle macht in handen als het gaat om hun persoonsgegevens. Consumenten hebben bijvoorbeeld altijd het recht om hun persoonsgegevens op te vragen of te laten verwijderen.
Hoofdpijlers
De AVG is van toepassing op de verwerking van persoonsgegevens. Hierbij wordt geen onderscheid gemaakt tussen B2C en B2B. Met persoonsgegevens worden onder andere bedoeld: de naam van een persoon, een foto, het e-mailadres enzovoorts. De AVG heeft drie hoofdpijlers:
- Informeren en toestemming vragen
- Verantwoordelijkheid en aansprakelijkheid
- Aanvullende rechten
Twee musts voor de verwerking van persoonsgegevens:
1. Transparantie
Ben transparant; als organisatie moet je na invoering van de AVG uitgebreid kunnen laten zien welke persoonlijke data je hebt verzameld en wat er met die data is gedaan. Consumenten moeten de verzamelde data gemakkelijk kunnen inzien, laten aanpassen, verwijderen of verplaatsen (bijvoorbeeld bij het wisselen van verzekeraar). Let hierbij op dat je soms data een bepaalde periode wél moet bewaren om aan andere wetgevingen te voldoen. Denk hierbij aan het bewaren van administratie voor de belastingdienst.
2. Vraag toestemming
Om de persoonsgegevens te mogen gebruiken moet er toestemming gevraagd worden. In het geval van bijzondere persoonsgegevens (politieke voorkeuren, religieuze overtuigingen, ras, gezondheid, seksuele geaardheid en genetica) zijn er nog aanvullende regels. Hierover straks meer.
2.a Algemene persoonsgegevens
Bij het verzamelen van persoonsgegevens moet er duidelijk aangegeven worden waar deze gegevens voor verzameld worden. De verantwoording moet zeer helder zijn. 'Voor marketingdoeleinden' volstaat dus niet. Gebruik een formulering als: 'Mogen wij jouw kledingmaat hebben, zodat we alleen nog aanbiedingen laten zien die nog in jouw maat beschikbaar zijn?' Tevens moet je aangeven hoelang je van plan bent deze gegevens te gebruiken voor dit bepaalde doeleinde.
Hierna is het voor bedrijven nog zaak om aan te kunnen tonen dat de consument toestemming heeft gegeven om zijn/haar gegevens te gebruiken. De datum en bron waarmee de gegevens zijn verkregen moeten dus opgeslagen worden. Een tip voor elk bedrijf is daarom ook; documenteer welke vraag gesteld wordt, wanneer deze gesteld is en welk antwoord hierop gegeven wordt.
Uitzondering: als bedrijf hoef je geen toestemming te vragen wanneer bepaalde gegevens nodig zijn om te voldoen aan contractuele verplichtingen. Je hoeft als online retailer dus geen toestemming te vragen voor het gebruik van de naam en het adres van de consument omdat deze nu eenmaal nodig zijn voor het versturen van het pakketje. Toestemming heb je wel nodig wanneer je bijvoorbeeld op de verjaardag van de consument een attentie wilt versturen. Je hebt immers niet gevraagd of de persoonsgegevens daarvoor gebruikt mogen worden.
2.b Bijzondere persoonsgegevens
Voor bijzondere persoonsgegevens gelden er aparte regels. Het is in principe niet toegestaan om bijzondere persoonsgegevens op te slaan en te verwerken, tenzij het een uitzondering is. Voor bijzondere persoonsgegevens heb je als bedrijf nadrukkelijke toestemming nodig. Dit betekent dat de consument expliciet een 'ja, ik ga akkoord' moet geven voordat de gegevens opgeslagen en verwerkt mogen worden.
Wanneer heb je te maken met bijzondere persoonsgegevens? Nou, al verassend snel. Denk bijvoorbeeld aan een stappenteller op je smartphone, een app die je calorieverbruik bijhoudt of een smartphone die je slaapritme bij houdt. Deze gegevens vallen allemaal onder de noemer bijzondere persoonsgegevens. Check als bedrijf dus altijd welke gegevens je bijhoudt en of hier toestemming voor nodig is.
De verzameling en verwerking van bijzondere persoonsgegevens hebben natuurlijk ook uitzonderingen. Enkele voorbeelden hiervan zijn:
- In het kader van arbeidsrelatie of sociale zekerheid, bijvoorbeeld het bijhouden van ziekteverzuim van werknemers.
- Wanneer je lid bent van een politieke partij. Deze politieke partij mag jouw gegevens bewaren.
- Het gebruiken van bijzondere persoonsgegevens is toegestaan wanneer de persoon deze zelf publiek maakt. Denk hierbij aan een politiek statement op social media.
- Wanneer er sprake is van een levensbedreigende situatie: stel je hebt een ongeluk gehad, dan mag de arts jouw bloedgroep doorgeven.
Al deze informatie kan misschien nog wat verwarrend zijn. Daarom hebben we onderstaande afbeelding gemaakt welke aangeeft wanneer je toestemming nodig hebt. Let op; het is slechts een vuistregel. Zoek voor de volledigheid de AVG op.
WBP
Vanaf 25 mei 2018 beschermen wij de privacy van onze gegevens dus niet meer op basis van de Nederlandse wetgeving, maar op basis van deze Europese wetgeving. Nederland heeft met de WBP (Wet Bescherming Persoonsgegevens) al een relatief vooruitstrevende privacywetgeving gehanteerd. Sommige onderdelen uit de AVG zijn in Nederland daarom al regel en vragen (hopelijk) weinig nieuwe inspanningen. De verschillen zitten dus vooral in de documentatie en privacyrechten.