De AVG: privacywetgeving

januari 14, 2018  |  NIeuws

Op 25 mei 2018 gaat een nieuwe wet in: de Algemene Verordening Gegevensbescherming (AVG). De belangrijkste wijziging is dat richtlijnen nu omgezet worden in wetgeving. Dat heeft als consequentie dat het niet houden aan de wetgeving ook strafbaar kan worden (met boetes van maximaal 20 miljoen). Als bedrijf moet je daarom goed gaan nadenken hoe je persoonsgegevens in jouw bedrijf gebruikt en dit ook vooral vast gaan leggen.

  1. Verantwoordingsplicht

Als bedrijf moet je te allen tijde aan kunnen tonen dat je zorgvuldig omgegaan bent met persoonsgegevens. Als je persoonsgegevens bewaart moet je kunnen verantwoorden waarom en hoe lang je ze bewaart, en of dat gerechtvaardigd is? De toezichthouder Autoriteit Persoonsgegevens kan altijd vragen om bewijs van het veilig en rechtmatig opslaan van persoonsgegevens binnen jouw organisatie.

  1. Transparantie

Hoe je met persoonsgegevens omgaat in jouw organisatie moet transparant zijn. Iemand van wie jij de persoonsgegevens hebt opgeslagen, heeft het recht om inzage te krijgen in de gegevens die binnen jouw organisatie van hem of haar aanwezig zijn. Ook moet je diegene de mogelijkheid bieden om de gegevens aan te laten passen of te laten verwijderen.
Als je iemand de mogelijkheid biedt om persoonsgegevens achter te laten moet je ook inzage geven in hoe deze persoonsgegevens verwerkt worden. Denk hierbij aan contactformulieren of bel-me-terug formulieren op je website. Je mag al langer niet zomaar nieuwsbrieven versturen naar je hele klanten- of adressenbestand, officieel moet je hier expliciet toestemming voor hebben. Na mei 2018 is een bedrijf die dit toch (blijft) doen ook daadwerkelijk strafbaar.

  1. Recht op dataportabiliteit

Iemand van wie jij persoonsgegevens bewaart, krijgt het recht op dataportabliteit. Dit houdt in dat je als bedrijf verplicht bent om alle persoonsgegevens die je van iemand bewaart af te geven als iemand daarom vraagt. Zo kun je als klant bijvoorbeeld makkelijker overstappen naar een andere leverancier.

  1. Recht op vergetelheid

Ook nieuw is het recht op vergetelheid. Zoals de naam al doet vermoeden heb je in een aantal gevallen het recht om een organisatie jouw persoonsgegevens te laten verwijderen. Dit kan bijvoorbeeld in de volgende situaties:

  • De gegevens zijn niet meer nodig voor het doel waar ze ooit voor verzameld zijn.
  • De betrokkene trekt de toestemming voor het gebruik van zijn gegevens in.
  • De persoon achter de gegevens maakt bezwaar tegen het gebruik. Hiervoor moeten de belangen van de persoon groter zijn dan de bedrijfsbelangen. Als je als bedrijf de persoonsgegevens nodig hebt om bijvoorbeeld facturen te versturen, dan geldt het recht op vergetelheid bijvoorbeeld niet.
  • De organisatie verwerkt de gegevens anders dan is aangegeven bij het verzamelen.
  • De bewaartermijn van de gegevens is verstreken.
  • De betrokkene is jonger dan 16 jaar.
  1. Profiling

Een bedrijf kan op basis van iemands gedrag een profiel opstellen. Met dit profiel kan men dan persoonlijke aanbiedingen en ervaringen op de website maken. Dit mag met de komst van AVG nog steeds, maar je moet als klant of bezoeker wel de mogelijkheid hebben om je hier tegen te verzetten of aan te geven dat je dit niet wilt. Het bedrijf moet profilen voor jou dan uitschakelen.

  1. Persoonsgegevens delen

Een organisatie mag in bepaalde gevallen persoonsgegevens delen. Er geldt altijd dat de organisatie er wel transparant over moet zijn. Dus niet alleen dat het de informatie deelt, maar ook wat de derde partij ermee doet. Gevallen waarbij persoonsgegevens gedeeld mogen worden:

  • Met toestemming van degene van wie de persoonsgegevens zijn als diegene ook weet waarvoor de toestemming is en wat de gevolgen zijn. Deze toestemming kun je trouwens op elk moment intrekken.
  • Als het delen nodig is om de overeenkomst uit te voeren. Denk hierbij aan het doorgeven van het adres aan de postbezorger om een pakket te kunnen leveren.
  • Bij een gerechtvaardigd belang van de organisatie, dus bij normale bedrijfsvoering of dagelijks beheer van een organisatie. Als organisatie moet je echter wel nagaan of alle gedeelde informatie ook echt noodzakelijk is, kun je door minder informatie te delen hetzelfde doel behalen?

En iets meer ingewikkeld:

  • Om te voldoen aan wettelijke verplichting. Een belastinginspecteur mag bijvoorbeeld gegevens opvragen als dat nodig is om belasting te kunnen heffen.
  • Als er een vitaal belang is voor de eigenaar van de persoonsgegevens. Denk bijvoorbeeld aan je bloedtype net nadat je een ongeluk hebt gehad.
  • Om een publiekrechtelijke taak uit te voeren. Het OM kan bijvoorbeeld persoonsgegevens aan verzekeraars geven om een schade te kunnen verhalen.
  1. Noodzakelijkheidseis en registers

Bij het ontwikkelen van producten, diensten en processen moet je telkens privacy in je achterhoofd houden. Is het noodzakelijk dat ik al deze persoonsgegevens verzamel? Is het noodzakelijk dat ik ze bewaar? En moet iedereen in de organisatie toegang hebben tot alle gegevens?

Onder de 250 medewerkers ben je niet verplicht een register bij te houden, tenzij je gevoelige persoonsgegevens in jouw organisatie hebt. In zo’n register registreer je alle bedrijfsactiviteiten waarbij persoonsgegevens verwerkt worden.

  1. Meldplicht gegevensverwerking en datalekken

De meldplicht voor datalekken was al van kracht in Nederland, maar vanaf mei ook in de hele EU.

De meldplicht voor gegevensverwerking wordt iets versoepeld. Dit hoeft nu alleen als je op grote schaal bijzonder gevoelige persoonsgegevens verwerkt, persoonsgegevens systematisch verwerkt of vermoedt dat de verwerking van persoonsgegevens een grote invloed op de betrokkenen heeft.  In de praktijk is dit met name van toepassing voor bedrijven met gevoelige informatie als medische gegevens, gegevens over levensovertuiging of strafrechtelijke gegevens.

  1. Functionaris gegevensbescherming

Een functionaris gegevensbescherming is iemand die persoonsgegevens beschermt. Je kunt daar als bedrijf iemand vrijwillig voor aanstellen, maar in sommige gevallen is dit verplicht. Deze gevallen zijn:

  • Je bent een overheidsinstantie
  • Je verwerkt op grote schaal bijzondere persoonsgegevens, dit is een kernactiviteit van jouw organisatie.
  • Je volgt op grote schaal mensen, dit is een kernactiviteit. Bedrijven die profiling als kerntaak hebben bijvoorbeeld.

Van belang voor Zelfstandige Uitgevers?

Naar mijn mening zijn er enkele aspecten van de nieuwe wetgeving die voor ons als zelfstandige uitgevers van belang zijn.

  1. We moeten zorgen dat we expliciet toestemming krijgen van onze contacten om ze te mogen mailen;
  2. Als we klantgegevens met anderen willen delen, moeten de klanten weten dat we dat doen en daarmee instemmen;
  3. Gegevens die (administratief) niet meer nodig zijn, moeten worden verwijderd;
  4. Ik voorzie dat er gevallen zullen zijn waar de nieuwe wet en de voorschriften van de Belastingdienst tegenstrijdig zijn en dat daarover rechtszaken zullen worden gevoerd; ik verwacht dat dit in eerste instantie vooral bij grotere bedrijven aan de orde zal zijn en dat kleinere partijen zoals de meesten van ons, daarvan vooralsnog verschoond zullen blijven. Het lijkt me wel van belang om eventuele rechtszaken hierover en vooral de uitspraken te volgen, om daarnaar te kunnen handelen of om er naar te kunnen verwijzen.

Met vriendelijke groet, (Thys VerLoren van Themaat)

Voornaamste bron: blog van Roel de Vries van Eresults BV (https://eresults.nl/blog/de-avg-wet-9-veranderingen-in-jouw-bedrijfsvoering), gedateerd 8 januari 2018


Leave a Reply