De Algemene Verordening Gegevensbescherming (AVG of General Data Protection Regulation (GDPR) in het Engels) is een nieuwe Europese privacywet. Vanaf 25 mei 2018 moet elke organisatie voldoen aan deze wet, dus vrijwel iedereen krijgt ermee te maken. Maar wat betekent de AVG nu eigenlijk en wat verandert er allemaal?

In dit artikel geef ik een korte introductie over deze wet en waar je rekening mee moet houden. Tevens ga ik in op de ePrivacy verordening, welke nu nog de status van voorstel heeft.

AVG, moet ik daar iets mee?

Momenteel hebben lidstaten van de EU nog hun eigen nationale privacywetten, gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is dat de Wet bescherming persoonsgegevens (Wbp). Als straks de AVG oftewel GDPR in werking treedt, geldt in de hele EU dezelfde privacywetgeving. Ook inhoudelijk gaan er dingen veranderen. De AVG zorgt volgens de Autoriteit Persoonsgegevens (AP) onder meer voor:

  • versterking en uitbreiding van privacyrechten van burgers;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Bovenstaande geeft dus al aan dat er werk aan de winkel is voor bedrijven. Immers werken vrijwel alle organisaties met privacygevoelige informatie. De AVG legt de verantwoordelijkheid voor het correct verwerken en beveiligen van die data bij organisaties zelf. Privacywaakhonden als de AP krijgen bovendien meer ruimte om bedrijven die zich niet aan de wet houden forse boetes op te leggen. Het is dus noodzakelijk om vanaf 25 mei je zaken op orde te hebben.

Wat zijn de kernpunten van de AVG?

De AVG heeft op verschillende manieren invloed op het verzamelen en verwerken van privacygevoelige gegevens door bedrijven. Ten eerste stelt de AVG strikte eisen aan wanneer je persoonsgegevens mag verzamelen. Dit was onder de Wbp ook al geregeld, maar wordt nu versterkt. Vervolgens vereist de wet dat je zorgvuldig met de gegevens omgaat. Voordat je gegevens verzamelt moet je hier al mee bezig zijn en je processen op inrichten. Voor het daadwerkelijk verwerken van de data zijn verschillende verplichtingen van toepassing, denk aan een goede beveiliging. Ten slotte hebben mensen meer rechten om controle over hun gegevens uit te voeren. Hieronder zal ik bovenstaande zaken verder uitwerken.

Het verzamelen van persoonsgegevens

Voor het verzamelen van persoonsgegevens moet voortaan expliciet toestemming worden gegeven door de gebruiker. Bedenk wel dat data al sneller onder persoonsgegevens kunnen vallen dan je denkt. Hier vallen zaken als NAW-gegevens, IP-adressen en locatiegegevens onder, maar ook zaken als MAC-adressen en cookies. Ook wanneer persoonsgegevens gehasht of versleuteld zijn, wordt er nog gesproken van persoonsgegevens. Pas wanneer de gegevens volledig geanonimiseerd zijn en je iemand dus niet meer kunt identificeren, zijn het geen persoonsgegevens meer.

Persoonsgegevens verzamelen mag als je expliciete toestemming hebt van de gebruiker. Er zijn ook andere grondslagen waarop je persoonsgegevens mag verzamelen, namelijk als er sprake is van:

  • Vitale belangen
  • Wettelijke verplichting
  • Overeenkomst
  • Algemeen belang
  • Gerechtvaardigd belang

Voor marketing zijn drie grondslagen relevant, stelt DDMA: (i) als de gegevens noodzakelijk zijn om een contract uit te voeren, (ii) als het past binnen je gerechtvaardigd (marketing) belang en de impact op de privacy beperkt is, of (iii) als je ondubbelzinnige toestemming hebt van de consument.

Wat je moet doen voordat je persoonsgegevens gaat verwerken

Als je persoonsgegevens wilt gaan verwerken is een zorgvuldige aanpak vereist. Het kan bijvoorbeeld voor jouw organisatie nodig zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen. Als je als organisatie vanuit jouw kernactiviteit op grote schaal individuen volgt of bijzondere persoonsgegevens verwerkt geldt de verplichting ook. Houdt hier dus rekening mee.

Onder de AVG zijn de uitgangspunten van privacy by design en privacy by default verplicht. Privacy by design betekent dat bij het ontwerpen van producten en diensten ervoor wordt gezorgd dat persoonsgegevens goed worden beschermd. Maar ook dat je niet meer gegevens verzamelt dan noodzakelijk en deze niet langer bewaard dan nodig.

Privacy by default houdt in dat je ervoor moet zorgen dat je standaard alleen de persoonsgegevens verzamelt die nodig zijn voor het doel dat je wilt bereiken.

Ten derde kan het nodig zijn dat je een data protection impact assessment (DPIA) uitvoert. Hiermee breng je vooraf de privacy risico’s van de gegevensverwerking in kaart. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).

Kortom, nog voordat je persoonsgegevens gaat verzamelen en verwerken is het belangrijk om je organisatie en systemen hiervoor in lijn met de AVG in te richten.

Verplichtingen bij het verwerken van persoonsgegevens

Als je eenmaal je systemen en processen hebt afgestemd op de AVG, ben je er nog niet. Er zijn namelijk verschillende technische en organisatorische maatregelen die je moet nemen om aan de wet te voldoen. Zo moeten de gegevens goed beveiligd worden opgeslagen. Een en ander moet worden beschreven in een gegevensbeschermingsbeleid (ook wel privacybeleid genoemd). Hierin vermeld je dus welke maatregelen je hebt genomen om de persoonsgegevens te beveiligen, maar ook zaken als welke persoonsgegevens je verwerkt en waarvoor, welke rechten betrokkenen hebben, hoe lang je persoonsgegevens bewaart en hoe je voldoet aan de beginselen van verwerking van persoonsgegevens.

Daarnaast kun je verplicht zijn een verwerkingsregister op te stellen. Als je organisatie meer dan 250 medewerkers heeft ben je daartoe verplicht, maar ook als je bijv. bijzondere persoonsgegevens met een hoog risico verwerkt.

Rechten van gebruikers

Burgers krijgen onder de AVG meer privacyrechten. Hierdoor krijgen ze meer controle over hoe er met hun persoonsgegevens wordt omgegaan. Het gaat om de volgende rechten:

  • Recht om in te zien
  • Recht om te wijzigen
  • Recht om vergeten te worden
  • Recht om gegevens over te dragen (recht op dataportabiliteit)
  • Recht op informatie

Het is een goede zaak dat burgers deze rechten krijgen, maar het stelt wel allerlei eisen aan de systemen van organisaties. Als een burger erom vraagt moet een organisatie bijv. in staat zijn de betreffende gegevens inzichtelijk, aanpasbaar, verwijderbaar en overdraagbaar te maken.

En de ePrivacy wet, moet ik daar ook iets mee?

De ePrivacy verordening is de Europese opvolger van de Telecommunicatiewet. De AVG beslaat alle vormen van verwerking van persoonsgegevens, terwijl de e-privacyrichtlijn zich specifiek richt op de verwerking van persoonsgegevens voor elektronische communicatiediensten. In feite geeft de ePrivacyverordening meer invulling aan de algemene AVG regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. Deze verordening richt zich op bedrijven die online communiceren, gebruik maken van tracking technologieën en direct marketing. Het startpunt is de AVG, maar in de specifieke gevallen waarin een organisatie te maken heeft met elektronische communicatiegegevens zal de e-Privacyverordening leidend zijn.

De bestaande ePrivacyrichtlijn geldt alleen voor traditionele telecombedrijven. De nu voorgestelde privacyregels zullen ook gelden voor nieuwe spelers die online communicatie aanbieden, zoals WhatsApp, Facebook Messenger, Skype, Gmail, iMessage of Viber. Hierbij wordt niet alleen de inhoud van elektronische berichten beschermd, maar ook de metadata ervan. Verder gaat de wet in op eenvoudiger cookieregels en bescherming tegen spam.

Net als de AVG wordt beoogd de ePrivacy verordening per 25 mei 2018 in werking te laten treden. Echter moet de Europese ministerraad zich er nog over uitspreken. Tot dan is het voorstel nog niet definitief.

Risico’s en kansen van de AVG/GDPR

De nieuwe privacywetgeving zorgt zowel voor risico’s als kansen voor bedrijven. De GDPR geeft Europese toezichthouders meer bevoegdheden om privacy schendingen aan te pakken. Zo kunnen de boetes oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet. Deze mogelijke sancties vormen voor bedrijven een belangrijk risico. Het is dus van groot belang om te voldoen aan deze wet.

In lijn met bovenstaande is het feit dat een dergelijke boete ook de nodige imagoschade en negatieve berichtgeving met zich meebrengt. Er is in de media steeds meer aandacht voor datalekken en beveiligingsrisico’s. Hierdoor worden mensen zich steeds bewuster van de waarde van hun gegevens en de beveiliging hiervan. Als blijkt dat een bedrijf onzorgvuldig met persoonsgegevens omgaat, kan dit dus tot een gevoelig verlies van klanten en omzet leiden.

Het hierboven geschetste risico is eigenlijk ook een kans. Als je als bedrijf aan de wet voldoet, geeft dit klanten en partners meer vertrouwen. Er zijn door de AVG immers meer garanties dat het verzamelen en bewaren van persoonsgegevens zorgvuldig wordt gedaan. Door deze garanties en meer transparantie kunnen mensen verleid worden makkelijker hun gegevens te delen.
Voor bedrijven zelf biedt de AVG ook een kans, omdat organisaties nu gedwongen worden hun data(stromen) goed in kaart en op orde te brengen. Dit geeft meer houvast en overzicht voor organisaties. Bovendien kunnen data bij de implementatie van de GDPR worden opgeschoond, geactualiseerd en daardoor beter worden benut.

Aan de slag met de AVG/GDPR

Over ongeveer vijf maanden treedt de AVG in werking, dus het is belangrijk om er nu mee aan de slag te gaan. Met dit blog heb je een overzicht van de belangrijkste principes van de AVG, zodat je een beeld krijgt welke processen in jouw organisatie aangepast moeten worden. De AVG heeft immers op zoveel gebieden, diensten, producten en processen invloed, dat het niet mogelijk is om op alle praktische toepassingen en gevolgen in te gaan.

In een volgend blog zullen we tips geven over hoe je je online marketing AVG proof maakt. Denk aan het aanpassen van de instellingen van je analytics, het gebruik van trackers, etc.

Over de schrijver