Ik denk dat we er inmiddels allemaal van gehoord hebben. De GDPR (General Data Protection Regulation) of in het Nederlands AVG (Algemene Verordening Gegevensbescherming) is sinds 25 mei 2018 van toepassing. Dit is een verordening die ervoor zorgt dat in de gehele Europese Unie dezelfde privacywetgeving geldt. Wat betekent dit voor jouw online activiteiten?

Persoonsgegevens

Eigenlijk kunnen we er wel vanuit gaan dat elke organisatie persoonsgegevens verwerkt. Bijvoorbeeld een klantenbestand of personeelsadministratie. Gegevens zijn persoonsgegevens als je met deze gegevens de persoon kunt identificeren. Als je bijvoorbeeld iemand zijn voor en achternaam weet, maar een persoon kan ook ‘identificeerbaar’ zijn door een telefoonnummer of ip adres.

Wat zijn de regels?

Hieronder lichten we een aantal regels toe die relevant zijn voor een organisatie die online actief is. Wij leveren geen juridisch advies, raadpleeg hiervoor een jurist. De AVG maakt onderscheid tussen een verwerkings-verantwoordelijke of verwerker. Een verwerking verantwoordelijke bepaalt dat er persoonsgegevens verwerkt gaan worden. Een verwerker verwerkt persoonsgegevens in opdracht van een ander bedrijf. Voor beide rollen zijn regels.

Regels voor verwerking verantwoordelijke

De belangrijkste richtlijn is “Je mag alleen persoonsgegevens verwerken als dat rechtmatig, behoorlijk en transparant is.

Wanneer is een verwerking rechtmatig?

Ten eerste is het belangrijk dat je duidelijk hebt beschreven met welk specifiek doel je gegevens verwerkt. Ten tweede moet dat specifieke doel binnen één van de zes grondslagen die de AVG noemt vallen.

  1. Je hebt de toestemming van alle betrokkene
    Binnen online marketing is dit de grondslag die het meeste van toepassing is. Als je vooraf toestemming vraagt aan de betrokkene dan mag je de gegevens verwerken. Dit moet wel duidelijk zijn voor de betrokkene en mag niet verstopt zijn in de algemene voorwaarden. Ook moet de betrokkene altijd de mogelijkheid hebben om de toestemming in te trekken. Het intrekken van de toestemming moet net zo gemakkelijk zijn als het geven ervan.
  2. Je moet gegevens verwerken om een contract dat je hebt met de betrokkene uit te voeren
    Als je een contract sluit met de betrokkene en je moet daarvoor gegevens verwerken, dan kan deze grondslag worden gehanteerd. Wanneer je bijvoorbeeld een webshop hebt en je verkoopt een boek, dan heb je de adresgegevens van de betrokkene nodig, anders kun je het boek niet leveren.
  3. Je bent wettelijk verplicht om de gegevens te verwerken
    Deze grondslag is bijvoorbeeld verplicht om persoonsgegevens van je personeel vast te leggen.
  4. Je moet gegevens verwerken omdat dat van (acuut) levensbelang is voor de betrokkene of iemand anders
    In de praktijk kun je deze grondslag bijna nooit voor gewone verwerkingen gebruiken.
  5. Je moet gegevens verwerken om een taak van algemeen belang of openbaar gezag goed uit te kunnen voeren
    Deze grondslag is voornamelijk bedoeld voor overheden en organisaties met een publieke functie.
  6. Je moet gegevens verwerken voor je eigen belang en dat belang weegt zwaarder dan de privacy van de betrokkene.
    Bij deze grondslag moet je kunnen onderbouwen dat jouw bedrijfs belang zwaarder weegt dan het privacybelang. Beveiliging en fraudebestrijding kunnen bijvoorbeeld gerechtvaardigde belangen zijn.

Behoorlijk en transparant

Op bovenstaande manier zorg je dat je gegevens rechtmatig verwerkt, om ook behoorlijk en transparant te zijn dien je je ook te houden aan de volgende regels:

  • Houd een overzicht bij van alle verwerkingen (registerplicht)
  • Vertel de betrokkene altijd dat jouw bedrijf zijn of haar persoonsgegevens verzamelt en verwerkt.
  • Zorg ervoor dat de gegevens juist zijn.
  • Zorg ervoor dat je niet méér gegevens verwerkt dan nodig.
  • Beveilig de gegevens goed.
  • Bepaal vooraf hoe lang je de verwerkte persoonsgegevens gaat bewaren.
  • Respecteer de rechten van de betrokkenen.
  • Maak schriftelijke afspraken met je verwerker.
  • Denk bij het ontwerp van je product of dienst al na over hoe je de privacy van de gebruiker zo goed mogelijk kan beschermen (Privacy by design).
    Verzamel nooit meer gegevens dan nodig en zorg dat de standaardinstelling op de hoogste privacybescherming is ingesteld (Privacy by default)
  • Je mag persoonsgegevens “in principe” alleen binnen de EU opslaan en verwerken.
  • Je moet met bewijzen en argumenten kunnen uitleggen hoe je aan de AVG voldoet.

In bepaalde gevallen moet je ook aan de volgende regels voldoen:

  • Zijn er gegevens gelekt? Dan moet je dat melden bij de Autoriteit Persoonsgegevens en bij de betrokkene.
  • Als je verwerkingen daar aanleiding toe geven, moet je een privacybeleid opstellen. In het beleid laat je zien hoe je aan de regels voor gegevensbescherming voldoet.

Wat betekent dit voor jouw online systemen?

De AVG kan nog wat vaag zijn als het gaat om Online, over “Cookies” wordt bijvoorbeeld maar heel beperkt gesproken. We adviseren in ieder geval goed na te denken over de privacy van je gebruikers. Welke gegevens verwerk je? Met welk doel? en wat heeft de consument hieraan? Belangrijk is ook hoe er met de data wordt omgegaan. Hoe verzamel je de data? Waar sla je deze op? Voor hoe lang? En hoe beveilig je deze data?

Privacy by design & Privacy by default

Zorg bij nieuwe producten dat je vanaf het begin goed nadenkt over bovenstaande vragen en zorg dat je zorgvuldig omgaat met de privacy van je gebruikers. (Privacy by design). Zorg dat de standaardinstelling de meest beschermende privacy instelling is. Voor verdere gegevensverwerking moet de gebruiker toestemming geven. Denk hier bijvoorbeeld aan Cookies. Alleen noodzakelijke cookies voor het functioneren van de website dienen standaard aangevinkt te zijn. Cookies t.b.v. statistische analyse en marketing dienen uitdrukkelijk toestemming voor worden gegeven. De ePrivacy verordening moet meer duidelijkheid gaan geven over de europese wetgeving voor online privacy, het is wachten totdat deze definitief wordt en uiteindelijk van kracht wordt.