Uncategorized

Algemene verordening gegevensbescherming

Algemene verordening gegevensbescherming

Wij zijn natuurlijk geen juristen, maar het heeft veel invloed op ons marketingvak. Wil je een juridisch zeker antwoord raden we je aan om de vraag bij een jurist neer te leggen. Voor vragen over de invloed op marketing kan je bij ons terecht.

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit is een nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens.

Wat houdt de AVG voor mij in?

Voor jou als organisatie betekent de AVG dat je transparanter en zorgvuldiger met persoonlijke gegevens om moet gaan en dat je meer verplichtingen krijgt. Het is namelijk je eigen verantwoordelijkheid om aan te kunnen tonen dat jij je aan deze wet houdt. Dit brengt de nodige voorbereiding met zich mee die wij hieronder in een checklist hebben uitgewerkt.

Maar eerst enkele begrippen. Want wat wordt er nu precies bedoeld met persoonsgegevens en het verwerken daarvan?

  • Persoonsgegevens zijn ieder soort gegevens van een persoon die op welke manier dan ook herleid kunnen worden tot deze persoon.
  • Bijzondere persoonsgegevens zijn gegevens van een persoon die betrekking hebben op onder andere iemands gezondheid, ras, politieke opvatting of geloofsovertuiging.
  • Verwerken persoonsgegevens: onder het verwerken van persoonsgegevens wordt verstaan: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, afschermen, wissen of vernietigen van persoonsgegevens.

Waar draait de AVG om?

Waar draait de AVG nu om? Er zijn een paar sleutelbegrippen die dat helder maken:


Toestemming
Je moet voor elke verwerking van persoonsgegevens toestemming vragen, en je mag daarom bijvoorbeeld ook geen automatisch aangevinkte vakjes meer toepassen. Een betrokkene moet expliciet toestemming geven voor het ontvangen van een nieuwsbrief of voor het delen van persoonlijke gegevens met derde partijen. Een vooraf aangevinkt vakje zoals in onderstaand voorbeeld is dan dus niet meer toegestaan.


Transparantie
Met de ingang van de AVG heeft de betrokkene recht op inzage, correctie, vergetelheid en dataportabiliteit.

  • Inzage: mensen moeten kunnen opvragen welke gegevens jij hebt van die persoon.
  • Correctie: mensen hebben recht om correctie van hun persoonsgegevens aan te vragen. Dit houdt in verbeteren, aanvullen, verwijderen of afschermen.
  • Vergetelheid: mensen hebben het recht om vergeten te worden en een organisatie moet in dat geval iemands persoonsgegevens wissen.
  • Dataportabiliteit: mensen krijgen recht op overdraagbaarheid van persoonsgegevens. Dat houdt in dat ze recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.


Focus
Belangrijk is dat je alleen gegevens verzamelt die echt relevant zijn voor je business, die je echt nodig hebt om een bepaald doel te bereiken.


Een kledingwinkel die om je geboortedatum vraagt wanneer je alleen een pakketje wil laten bezorgen heeft daar bijvoorbeeld geen doel voor. Met de komst van de AVG is het dus niet meer toegestaan dat de geboortedatum in dat geval verplicht is.


Beveiliging
De data die je in huis hebt moet je beveiligen met geschikte beveiligingsmethoden. Dat geld ook voor subverwerkers (onderleveranciers). Als er dan toch een datalek optreed moet je dit zo snel mogelijk melden. Meer informatie hier over staat in onderstaande checklist beschreven.

AVG Checklist

Hieronder volgt een checklist met stappen die je kunt doorlopen ter voorbereiding op de AVG:

  • Bewustwording
    Zorg er ten eerste voor dat medewerkers in je organisatie op de hoogte zijn van de nieuwe privacyregels. Wanneer je je namelijk niet aan de regels houdt kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens (AP), en zij zijn vervolgens verplicht om die klacht te behandelen. De AP kan dan sancties opleggen.
  • Nulmeting: welke persoonsgegevens verwerk je?
    Persoonsgegevens zijn gegevens als naam, adres, telefoonnummer en dergelijke, maar ook gegevens als een klantID. Volledig anonieme gegevens die niet te herleiden zijn naar een persoon vallen buiten de AVG. Belangrijk is dus om in kaart te brengen welke gegevens je verwerkt, hoe je deze verwerkt, waarom je ze verwerkt (met welk doel), hoe lang je ze bewaart en met wie je ze deelt.
  • Data protection impact assessment (DPIA)
    Onder de AVG kun je verplicht zijn een DPIA uit te voeren. Met dit instrument kunnen de privacyrisico’s van de gegevensverwerking vooraf in kaart worden gebracht. Vervolgens kunnen er maatregelen worden genomen om die risico’s te beperken. Je moet een DPIA uitvoeren als je gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Controleer of je verplicht bent om een DPIA uit te voeren.
  • Vraag alleen naar noodzakelijke gegevens
    Dit onderdeel moet je toetsen aan de privacy by default. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat er standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor een bepaald doel.
    Voorbeeld: je mag wel de NAW-gegevens verzamelen als het gaat om de bezorging van een pakket. Je mag geen telefoonnummer vragen als het gaat om een inschrijving voor een digitale nieuwsbrief.
  • Bewaar persoonlijke gegevens niet te lang
    Wanneer je toestemming hebt voor het gebruiken van gegevens betekent dat evengoed niet dat je ze voor altijd mag bewaren. De regel is dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld.
  • Functionaris voor de gegevensbescherming
    Een organisatie kan verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bekijk nu dus alvast of je verplicht bent, en zo ja wie die functionaris zal worden.
  • Leidende toezichthouder
    Wanneer jouw organisatie vestigingen heeft in meerdere EU-lidstaten, of als je gegevensverwerking in meerdere lidstaten impact heeft, dan hoef je onder de AVG nog maar met een privacytoezichthouder zaken te doen: de leidende toezichthouder.
  • Cookies? Vraag eerst om toestemming
    Ook voor cookies geld dat je eerst om toestemming moet vragen. Voor functionele cookies (die nodig zijn om essentiële onderdelen van de website te laten functioneren) hoeft geen toestemming te worden gevraagd. Voor andere cookies moet je wel expliciet toestemming vragen. Deze toestemming is 12 maanden geldig, tenzij de gebruiker deze eerder intrekt. Daarna moet er opnieuw toestemming worden gevraagd. Ook een cookie wall mag met ingang van de AVG niet meer. Je moet ook toegang tot je website bieden voor wie geen cookies wil. Ook standaardinstellingen met alle cookies aangevinkt is niet meer toegestaan.

    Een onderstaande melding is met ingang van de AVG dus niet meer voldoende. Je moet expliciet om toestemming vragen.

    Voor het gebruik van Google Analytics moet je ook toestemming hebben, want deze tool meet ook persoonsgegevens zoals IP-adressen. Als je bang bent dat je geen toestemming krijgt kun je Google Analytics toch nog zo instellen dat je de belangrijkste functionaliteiten nog kunt gebruiken zonder expliciete toestemming. Dit gaat als volgt:

    (1) Sluit een verwerkersovereenkomst af met Google
    (2) Anonimiseer IP-adressen
    (3) Zet het delen van gegevens met Google uit
    (4) Informeer je bezoekers hierover in de privacyverklaring
  • Mails sturen? Vraag om toestemming
    De ontvanger moet expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings. Dit kan eenvoudig geregeld worden met een double opt-in. Een double opt-in is niet verplicht, maar maakt het wel heel makkelijk om de expliciete toestemming te krijgen. De ontvanger moet geïnformeerd worden over het onderwerp van de mailings, de frequentie van de mailings, verstrekking van data aan derden en vastlegging van informatie middels mailings.
  • Pas je privacyverklaring en cookiestatement aan
    In de privacy- en cookiestatement op jouw website is het belangrijk om transparant te communiceren hoe je met persoonsgegevens omgaat. Vermijd daarom lange zinnen en moeilijke zinnen, dubbele ontkenningen en ingewikkelde juridische termen. Dit zorgt er namelijk voor dat het document onleesbaar wordt voor de betrokkenen. Informatie die in de privacyverklaring hoort te staan:

    • Welke persoonsgegevens verwerk je.
    • Waarom je deze gegevens verwerkt.
    • Is er een wettelijke basis voor (bijvoorbeeld bewaarplicht).
    • Wat de bewaartermijn is voor elk soort persoonsgegeven.
    • Met welke derde partijen je deze persoonsgegevens deelt.
    • Hoe iemand een klacht kan indienen bij het AP.
    • Hoe je toestemming vraagt voor het krijgen van persoonsgegevens.
    • Dat personen de toestemming altijd moeten kunnen intrekken.
    • Dat personen hun persoonsgegevens altijd moeten kunnen inzien.
    • Dat personen hun persoonsgegevens altijd moeten kunnen wijzigen.
    • Dat personen hun persoonsgegevens altijd moeten kunnen verwijderen.
    • Dat personen hun persoonsgegevens altijd moeten kunnen meenemen.
    • Naam en contactgegevens van de verantwoordelijke persoon bij je organisatie voor privacy- en gegevensbescherming.

    Een voorbeeld van een goede privacyverklaring en cookiebeleid van de Consumentenbond.
  • Sluit verwerkersovereenkomsten af
    Een betrokkene moet altijd toestemming geven voor het gebruik van persoonsgegevens door verwerkers. Indien verwerking van persoonsgegevens wordt uitbesteed aan een verwerker dan moet er een verwerkersovereenkomst worden gesloten. Dat is ook het geval als er gebruik wordt gemaakt van software die de persoonsgegevens verwerken. Deze overeenkomst moet worden gesloten met elke partij die namens jou persoonsgegevens verwerkt. Denk aan partijen als Google Analytics, Mailchimp, Hotjar, maar ook Nederlandse datapartners als een marketingbureau of externe klantenservice. Ook met partners (subverwerkers) moet deze overeenkomst worden afgesloten.

    Informatie die in deze verwerkersovereenkomst thuis hoort:
    • Algemene beschrijving: onderwerp, duur, aard, doel van de verwerking, soort persoonsgegevens, rollen, rechten en verplichtingen als verwerkingsverantwoordelijke.
    • Instructies verwerking: de instructies moeten omschreven worden. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
    • Beveiliging: de verwerker moet alle maatregelen treffen om de verwerking te beveiligingen. Dit zijn technische en organisatorische maatregelen.
    • Subverwerkers: de verwerker mag geen subverwerker inschakelen zonder schriftelijke toestemming.
    • Privacyrechten: de verwerker moet jou in staat stellen om te voldoen aan je plichten als betrokkenen hun privacyrechten uitoefenen.
    • Andere verplichtingen: de verwerker moet je ook helpen om andere verplichtingen na te komen zoals het melden van datalekken of het uitvoeren van een DPIA.
    • Gegevens verwijderen: na afloop van het verwerken van de gegevens moet de verwerker de gegevens verwijderen of ze aan je terug bezorgen. Kopieën moeten ook worden verwijderd. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
    • Audits: de verwerker moet meewerken aan audits van jou of een derde partij. Hiervoor moet dan de nodige informatie beschikbaar worden gesteld om te controleren of hij zich aan de verplichtingen houdt.

    Lees meer over de inhoud van een verwerkersovereenkomst op de website van Autoriteitspersoonsgegevens.nl
  • Stel een Register Verwerkingsactiviteiten op
    Wanneer de AP erom vraagt moet je aan kunnen tonen hoe je verantwoord om gaat met de persoonsgegevens. Een belangrijk onderdeel daarbij is een register met al je verwerkingsactiviteiten. Ook hierin wordt vooral informatie opgenomen als welke gegevens verzamel je, hoe, waarom, wanneer en met wie wordt dat gedeeld?
  • Toon aan dat je toestemming hebt van de betrokkenen
    Je moet kunnen verantwoorden hoe en wanneer je toestemming hebt verkregen van mensen om hun persoonsgegevens te mogen gebruiken. Een manier om dit vast te leggen is middels een CRM-systeem. Daarnaast moet je ook aantonen welke informatie de betrokkene tot zijn beschikking had toen hij de beslissing maakte. Bijvoorbeeld een afbeelding van het formulier of chatgesprek zoals dat er toen uit zag. Als je geen toestemming van de betrokkene hebt of krijgt moet je de gegevens verwijderen.
  • Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten
    Een betrokkene heeft te allen tijde recht om zijn persoonsgegevens op te vragen. Deze moeten dan geheel kosteloos binnen 30 dagen worden verstrekt. Zorg ervoor dat dit ook geregeld kan worden binnen de organisatie.
  • Maak een databeveiligingsbeleid of scherp dat beleid aan
    De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. Datalekken moeten binnen 72 uur worden gemeld. De AVG stelt alleen wel strengere eigen aan eigen registratie van datalekken. Je moet zelf namelijk de datalekken documenteren die zich in je organisatie hebben voorgedaan. Met deze documentatie moet de AP kunnen controleren of je aan die meldplicht voldoet.


Heb je naar aanleiding van deze informatie nog vragen? Neem dan contact met ons op! Voor sluitend advies adviseren wij je contact op te nemen met een jurist. Wij kunnen je helpen met het vinden van een jurist. Tevens kun je meer informatie vinden op de volgende websites: autoriteit persoonsgegevens en ICT recht.