Wet & Regelgeving

Sinds de invoering van de Algemene Verordening Gegevensverwerking (AVG) op 25 mei 2018 doe je er verstandig aan om je goed te verdiepen in de regels bij datagebruik. Het verwerken van persoonsgegevens is toegestaan, mits je deze regels respecteert. Maar wat zijn persoonsgegevens en wat is nu precies verwerken? En hoe steekt de AVG-wet in elkaar?

Graag informeren wij je over de huidige stand van zaken. Daarbij zijn wij uiteraard geen jurist en geven je graag onze interpretatie. De verantwoordelijkheid voor een juiste manier van omgaan met persoonsgegevens ligt uiteraard bij elke organisatie die eindverantwoordelijk is voor de verwerking. Houd dus zelf ook de ontwikkelingen op het gebied van privacy in de gaten. Benieuwd hoe Ad Hoc Data omgaat met privacy? Lees dan ons privacy statement eens door.

Heb je vragen? Neem gerust contact met ons op, wij denken graag met je mee!

Algemeen

De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie en vervangt de Wet bescherming persoonsgegevens (Wbp). Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels. De AVG zorgt onder meer voor: versterking en uitbreiding van privacy rechten van de betrokkenen daarmee voor meer verantwoordelijkheden voor organisaties.

Persoonsgegevens betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Voorbeelden zijn: NAW’s, directe telefoonnummers, persoonlijke e-mailadressen, IP-adressen, foto’s et cetera. Hierbij zijn er ook ‘bijzondere persoonsgegevens’ gedefinieerd. Deze persoonsgegevens, zoals politieke voorkeur, godsdienst, gezondheid en ras zijn extra goed beschermd; verwerking ervan is verboden.

‘Verwerken’ is een ruim begrip en betreft alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Voorbeelden zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.

Wanneer jij persoonsgegevens verwerkt, moet je hierbij voldoen aan de AVG. Feitelijk is dit dus voor nagenoeg elke organisatie het geval, of het nou gaat om gegevens van klanten, prospects, medewerkers of sollicitanten, al snel is er sprake van het opslaan en verwerken van persoonsgebonden gegevens.

Je bent een verwerkingsverantwoordelijke wanneer je het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Een organisatie kan dit alleen doen of eventueel in samenwerking met een ‘verwerker’. Of het nou gaat om klanten, prospects, medewerkers of sollicitanten, al snel ben je bezig met het verwerken van persoonsgegevens en ben je dus verwerkingsverantwoordelijk.

Je bent een verwerker wanneer je de organisatie bent aan wie de verwerkingsverantwoordelijke de gegevensverwerking heeft uitbesteed. Denk hierbij aan bijvoorbeeld administratiekantoren, software leveranciers, callcenters, cloud leveranciers et cetera. De verwerkingsverantwoordelijke is verplicht om een verwerkingsovereenkomst af te sluiten met de verwerker(s).

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:
  • toestemming van de betrokken persoon voor de gegevensverwerking;
  • de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  • de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
  • de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
  • de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  • de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De AVG bepaalt de volgende rechten van betrokkenen:
  1. Informatie: het recht om te weten wat je met de persoonsgegevens van betrokkenen doet.
  2. Inzage: in welke persoonsgegevens worden verwerkt.
  3. Correctie: van persoonsgegevens.
  4. Verwijdering: van persoonsgegevens uit onze databank (ook wel: het recht op vergetelheid).
  5. Beperking: van de verwerking van persoonsgegevens.
  6. Bezwaar: tegen de verwerking van persoonsgegevens.
  7. Overdracht: het recht om persoonsgegevens over te dragen naar een andere organisatie.
  8. Niet profilering: het recht om bezwaar te maken tegen ‘profiling’. Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

De AVG kent geen concrete bewaartermijn voor persoonsgegevens. Je bepaalt dus zelf hoe lang je de persoonsgegevens wilt bewaren. Wel is hierbij van belang dat je dat data niet langer dan noodzakelijk bewaard voor het doel waarvoor de gegevens zijn verzameld en gebruikt. Het is goed om je overwegingen hierbij vast te leggen in het verwerkingsregister.
B2B markt

Op de zakelijke markt is er in eerste instantie sprake van zakelijke gegevens. Deze vallen buiten de AVG, voor zover deze niet te herleiden zijn naar een persoon. Uiteraard kan er sprake zijn van mogelijke verwerking van persoonsgegevens. Denk hierbij aan persoonsgerelateerde gegevens van klanten, potentiële en oud-klanten. Het gaat hierbij om onder andere gegevens die je opslaat in je CRM-systeem: persoonlijke e-mailadressen, directe telefoonnummers, bankgegevens etc. Let erop dat je hierbij uitsluitend die gegevens opneemt, die noodzakelijk zijn voor de uitvoering van de overeenkomst, of dat je anders toestemming vraagt dan wel een gerechtvaardigd belang hebt voor de verwerking. Het is bijvoorbeeld (hoogstwaarschijnlijk) niet noodzakelijk om hobby’s, voorkeuren of een geboortedatum op te nemen van je zakelijke klant. In dat geval moet je deze gegevens dus achterwege laten.

Zet je e-mailmarketing in, dan heb je in eerste instantie te maken met de Telecommunicatiewet (in de toekomst in de e-Privacywet) ten aanzien van het gebruik van dit kanaal. Ondermeer is hierin bepaald dat je vooraf toestemming moet vragen aan de ontvanger voor het mogen versturen van e-mails voor zover er met de ontvanger geen klantrelatie bestaat en zich niet hiervoor heeft afgemeld. Daarnaast maak je meestal hierbij gebruik van persoonsgegevens, zoals persoonlijke e-mailadressen, directe telefoonnummers en andere gegevens die persoonsgerelateerd kunnen zijn. Daarvoor heb je wel te maken met de AVG.

Bij marketingacties op social media kun je te maken krijgen met de AVG, voor zover je hierbij bijvoorbeeld lijsten met e-mailadressen wilt matchen met je social media campagne. Ook remarketing (het gericht tonen van advertenties aan personen die eerder je website hebben bezocht) valt hieronder.

Net als bij e-mailmarketing heb je in geval van telemarketing in eerste instantie te maken met de Telecommunicatiewet (in de toekomst de e-Privacywet) met betrekking de inzet van dit kanaal. In geval van B2B telemarketing betreft dit alleen organisaties met de rechtsvormen: eenmanszaken, vof's, maatschappen. Maar daarnaast heb je ook hier te maken met de AVG, voor zover je in je bellijst onder meer gebruik maakt van directe telefoonnummers, contactpersonen en andere informatie die als persoonsgegeven kan worden beschouwd.

Wanneer is sprake is van overdracht van persoonsgegevens van de ene verwerkingsverantwoordelijke naar de andere, is er sprake van ‘ketenverantwoordelijkheid’. De reikwijdte van je verantwoordelijkheid gaat dus verder dan je eigen activiteiten. Je moet je namelijk ook inspannen om de databescherming te waarborgen, wanneer er sprake is van data-overdracht binnen de keten.

De AVG heeft betrekking op alle landen binnen de EU. Worden jouw producten of diensten afgenomen buiten de EU dan bestaat de kans dat de privacyregels daar minder strak zijn geregeld. Deze zogeheten ‘derde landen’ zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER: Noorwegen, Liechtenstein en IJsland). Je mag uitsluitend verkopen aan landen met een passend beschermingsniveau.
Maatregelen

Je kunt ondermeer de volgende technische en organisatorische maatregelen nemen om aan de privacyregels te voldoen.
  • Privacybeleid opstellen: waarbij je let op b.v. dataminimalisatie, transparantie, procedures voor het waarborgen bij internationaal dataverkeer.
  • Benoemen van een FG/DPO: het aanwijzen/aannemen van interne verantwoordelijke functionaris wanneer je op grote schaal, of bijzondere persoonsgegevens verwerkt;
  • Verwerkingsregister samenstellen: registratie van alle verwerkingen van persoonsgegevens met daarbij informatie over welke verwerkingen hoe plaatsvinden, aangevuld met de bewaartermijnen en wijze waarop je de rechten van betrokkenen waarborgt hierbij;
  • Datalekken beleid: bepalen van de procedures bij datalekken en bijhouden van een rapportage van alle (vermeende) datalekken met daarbij de genomen acties hierbij;
  • DPIA (indien van toepassing): het uitvoeren van een gegevensbeschermingseffectboordeling bij nieuwe verwerkingsactiviteiten met een verhoogd privacy risico.
  • Verwerkersovereenkomsten afsluiten: met alle verwerkers waarin de verantwoordelijkheden en procedures aan beide zijden zijn afgesproken;
  • Privacy by design & default: gegevensbescherming doorvoeren via ontwerp en standaardinstellingen van (web)applicaties;
  • Technische beveiligingsmaatregelen: onder andere voor het aanmaken van wachtwoorden, veilig versturen van bestanden, beveiligde website (je kunt eventueel een hack laten uitvoeren als test);
  • Intern handboek: het vergroten van een interne bewustwording over privacy en het doorvoeren van een werkwijze volgens het handboek.

Wordt er een klacht ingediend over jouw organisatie dan zal de Autoriteit Persoonsgegevens een onderzoek naar je instellen. En als dit onderzoek bepaalt dat je niet voldoende privacy compliant bent, kan je boete oplopen tot 4% van je wereldwijde jaaromzet met een maximum van 20 miljoen euro.

Een Functionaris Gegevensbescherming (FG), ook wel Data ProtectionOfficer (DPO) is degene die binnen een organisatie verantwoordelijk is voor de naleving en toepassing van de AVG. Vaak is dit een externe persoon, meestal met een juridische achtergrond.

Voor bepaalde organisaties is het aanstellen van een FG verplicht, gezien de grote hoeveelheden persoonsgegevens die worden verwerkt dan wel wanneer dit bijzondere persoonsgegevens zijn. Ook voor overheden en publieke organisaties is dit altijd verplicht. Weet je niet zeker of je verplicht bent om een dergelijke functionaris te benoemen, maar verwerk je wel op redelijke schaal persoonsgegevens? Dan kun je beter voor kiezen om op safe te spelen en iemand hiervoor aan te stellen. Meld je FG altijd aan bij de Autoriteit Persoonsgegevens.</a >

Wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, is er sprake van een datalek. Het gaat dan om een incident waarbij persoonsgegevens verloren gaan of ongeoorloofd overhandigd, gezien of gewijzigd (kunnen) zijn als gevolg van een veiligheidsprobleem. Je kunt hierbij denken aan: uitgelekte computerbestanden, een e-mail die is verstuurd naar verkeerde e-mailadressen, een gestolen laptop of verloren usb-stick, cyberaanvallen etc. voor zover hierbij persoonsgegevens zijn betrokken. Je bent verplicht om alle datalekken te melden bij de AP én je FG, en zo nodig moet je de betrokkene informeren (meldplicht).

Organisaties zijn verplicht om met documentatie aan te tonen dat zij passende en doeltreffende organisatorische en technische maatregelen hebben genomen om gevolg te kunnen geven aan de beginselen en verplichtingen uit de AVG. Onder meer moet je hierbij vastleggen hoe je welke verwerkingen uitvoert, met welke grondslag en hoelang je de persoonsgegevens bewaard. Dit is een cruciaal document en wordt een verwerkingsregister genoemd.

De AVG geeft aan dat je betrokkenen goed moet informeren over welke persoonsgegevens worden verwerkt, met welke doeleinden en op basis van welke gronden. Je kunt dit bijvoorbeeld doen in een privacy statement. Maar ook op andere momenten kun je betrokkenen informeren, bijvoorbeeld in een online bestelmodule.

Een DPIA, Data Protection Impact Assessment, is een onderzoek naar de risico’s van een verwerking voordat deze plaatsvindt. Dit onderzoek kan in sommige gevallen een verplicht instrument zijn, bijvoorbeeld wanneer er systematisch en op grote schaal persoonsgegevens worden verwerkt.
Loading...