Op 25 mei 2018 is de nieuwe Europese privacywetgeving van toepassing: de AVG. AVG staat voor Algemene Verordening Gegevensbescherming en deze wet zorgt voor nieuwe regels rondom de omgang met persoonsgegevens. Deze wet geldt niet alleen in Nederland maar in de hele EU en is ook wel bekend als GDPR: General Data Protection Regulation.
Wat betekent deze nieuwe wetgeving voor jouw organisatie?
De nieuwe wetgeving geldt voor alle bedrijven die persoonsgegevens verwerken. Denk hierbij ook aan gegevens die je verzamelt voor klanten. Gegevens van medewerkers vallen ook onder persoonsgegevens. Wanneer persoonsgegevens worden verwerkt is de AVG van toepassing.
Voor de AVG bestond de wet bescherming persoonsgegevens (WBP) al. Er veranderen een aantal dingen, maar veel dingen blijven ook gewoon hetzelfde. Wat er nu bijvoorbeeld verandert is dat de boetes bij overtreding extreem hoog kunnen zijn. Dat is 1 van de redenen dat er nu zoveel aandacht voor is. En uiteraard wil je als organisatie natuurlijk ook gewoon netjes en transparant met persoonsgegevens omgaan.
De grondbeginselen van de AVG zijn:
- Rechtmatig, behoorlijk en transparant
- Niet buiten het verwerkings doel gebruiken
- Minimaal, niet meer dan noodzakelijk voor het doel
- Juist
- Niet langer bewaren dan noodzakelijk voor het doel
- Passende beveiliging
Op grondslag hiervan mag je persoonsgegevens verzamelen:
- toestemming
- noodzakelijk voor de uitvoering van een overeenkomst
- noodzakelijk voor het nakomen van een wettelijke verplichting
- noodzakelijk ter bescherming van vitale belangen
- noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
- noodzakelijk voor de behartiging van de gerechtvaardigde belangen
Dus in een notendop:
Je moet toestemming van de betrokkene hebben of een noodzakelijk belang. Ga zorgvuldig om met gegevens en gebruik ze voor het doel waarvoor je ze verworven hebt. Bewaar ze niet langer dan nodig en bewaar alleen wat je nodig hebt voor je doel. Denk aan beveiliging.
Zo klinkt het al heel wat behapbaarder toch? Met gezond verstand kom je ook al een heel eind!
Grondslag voor behartiging van de gerechtvaardigde belangen
De grondslag voor behartiging van gerechtvaardigde belangen is erg interessant. Zeker voor marketing doeleinden. Als je goed verwoord waarom je persoonsgegevens nodig hebt, welke middelen je gebruikt en hoe de verwerking plaatsvindt mag er best wel wat. Tenzij het belang van de betrokkene prevaleert over jouw belang. Verwerking mag niet in strijd zijn met het belang van betrokkene.
Er zijn wel wat verplichtingen waar je aan moet voldoen bij verwerking van persoonsgegevens:
- Je moet een register bijhouden met alle verwerkingen
- Je moet inzage bieden in de gegevens wanneer iemand om zijn gegevens vraagt
- Je moet gegevens van iemand wissen wanneer iemand daarom vraagt
- Je moet actief aan beveiliging van gegevens doen
- Je bent mogelijk verplicht een data protection impact assessment te doen (DPIA)
Een vervelend puntje is dat niet alleen jij je aan al deze wetgeving moet houden maar je ketenpartners ook. Dus als jouw site gehost is bij bijvoorbeeld een amerikaanse host dan is er grote kans dat deze niet voldoet aan de strenge eisen van de AVG. MailChimp heeft bijvoorbeeld een standaard verwerkers overeenkomst. Maar lang niet alle SAAS (software as a service) bedrijven hebben dit. Verwerking van persoonsgegevens mag sowieso niet buiten de EU plaatsvinden. Ik zeg ‘vervelend’, omdat de kans aanwezig is dat je gebruikt maakt van software of diensten van serviceproviders die dit nog niet op orde hebben.
Ik heb geprobeerd in bovenstaande beschrijving zo compleet mogelijk te zijn zonder het té ingewikkeld te maken. Het is vrij droge kost die al snel onoverzichtelijk wordt. Wij zijn groeimarketeers en developers en geen juristen, dus lees vooral zelf wat de autoriteit persoonsgegevens er allemaal over te melden heeft. Voor een completere uitleg van de AVG verwijs ik jullie graag naar de site van Autoriteitpersoonsgegevens.nl
Dit is een nuttige resource om te starten waarin de AVG duidelijk en overzichtelijk is weergegeven: Avg in een notendop
Begint het allemaal te duizelen? Geen nood! Lees hier wat je moet doen je website AVG proof te maken.
