AVG/GDPR: de introductie (deel 1/4)
Persoonlijke gegevens. Die moeten niet op straat liggen. Dat vond de EU ook, die de stokoude Wbp-wetgeving uit de jaren negentig een upgrade heeft gegeven en er een sexy naam voor bedacht (GDPR) die in ons landje vaak wordt vertaald naar AVG. De EU belooft deze wet vanaf 25 mei 2018 actief te handhaven. Lees: vette boetes die kunnen oplopen tot wel 20 miljoen euro of 4 procent van de jaaromzet - wanneer bedrijven niet aan de wetgeving voldoen.
Dit is deel 1 van 4 in de serie ‘AVG/GDPR’ op ons blog die je moet helpen om deze boetes te voorkomen.
Voordat je verder leest: wij bouwen websites en webapplicaties. We zijn geen advocaten. Beschouw deze artikelen als onze mening, voorzien van praktische tips, maar niet als juridisch advies.
De wetgeving geldt voor iedere organisatie, ook voor MKB en ZZP’ers
De Wet bescherming persoonsgegevens (Wbp) stamt uit de tijd dat Nokia de wereld schokte met een telefoon met kleurenscherm. Niemand had ooit gehoord van Wikipedia, WiFi of social media.
De EU heeft nu wetgeving ingevoerd die het opslaan, overdragen en verwerken van persoonsgegevens regelt. Vanaf 25 mei 2018 vervalt de Wet bescherming persoonsgegevens (Wbp) en is de AVG/GDPR in de hele EU van kracht: de General Data Protection Regulation (GDPR) of in het Nederlands: Algemene verordening gegevensbescherming (AVG). De wetgeving zorgt onder andere voor:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- voor alle Europese privacytoezichthouders dezelfde, stevige bevoegdheden.
Deze wet beschermt privacygevoelige gegevens die organisaties bezitten. Fijn voor de bescherming van onze privacy en persoonsgegevens. Minder fijn voor alle veranderingen en inspanningen die de wet met zich meebrengt voor ondernemers en organisaties.
Rechten en plichten volgens AVG/GDPR
Binnen de wet worden persoonsgegevens ingedeeld in drie categorieën:
- Persoonsgegevens: gegevens waarmee je iemand kan identificeren, zoals NAW-gegevens, geboortedatum, e-mailadres, IP-adres, huidige locatie en device-ID’s.
- Pseudo-anonieme gegevens: persoonsgegevens die niet direct herleidbaar zijn naar een persoon zonder aanvullende gegevens. Denk aan: versleutelde e-mailadressen, klantnummers, en data via online trackers zoals Google Analytics.
- Anonieme gegevens: deze gegevens vallen buiten de AVG/GDPR.
Binnen de wet is vastgelegd dat er expliciete toestemming moet zijn gegeven voor het verzamelen van persoonsgegevens. Consumenten krijgen het recht:
- in te zien welke van hun persoonlijke gegevens jij als organisatie verwerkt;
- te eisen dat jij hun persoonsgegevens wijzigt of verwijdert;
- vergeten te worden: Jij moet persoonsgegevens wissen als de persoon erom vraagt, ook de data die met derde partijen is gedeeld.
Bovendien bepaalt de wetgeving dat voor alle persoonsgegevens die jij verwerkt - met terugwerkende kracht - een gespecificeerd doel moet zijn vastgelegd. Als dat doel stopt, moeten de gegevens na een redelijke termijn verwijderd worden.
Wat betekent AVG/GDPR voor je organisatie?
De wet laat veel ruimte over voor eigen interpretatie. We moeten er met z’n allen nog achter komen wat de termen ‘soortgelijk’, ‘passend en doelmatig’ en ‘standaarden in de markt’ - die in de wet worden genoemd - inhouden. De Autoriteit Persoonsgegevens (AP) geeft zelf aan dat in verband met de verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie, het nog niet mogelijk is om alle vragen over de nieuwe Europese privacyregels te beantwoorden. Daarbij wordt er momenteel gewerkt aan de ePrivacy Regulation. Dit is een aanvullende wet op de AVG/GDPR en regelt het gebruik van metadata, regels omtrent cookies en regels om gebruikers te beschermen tegen spam. Als het een beetje vlot, kunnen we het daar later dit jaar over gaan hebben.
Wat wel duidelijk is, is dat jij als organisatie persoonsgegevens en pseudo-anonieme gegevens mag gebruiken met expliciete toestemming voor duidelijk gespecificeerde, expliciete en rechtmatige doelen. De gegevens mogen niet verder verwerkt worden op manieren die niet met deze doelen stroken. Dat betekent dat:
- Je moet kunnen aantonen dat jij aan de verantwoordingsplicht volgens de wet voldoet;
- Je vaker en in duidelijke taal om toestemming moet vragen voor het gebruik van gegevens voor je marketingactiviteiten;
- Je moet verantwoorden waarom je bepaalde gegevens verzamelt;
- Je privacyrisico’s in kaart dient te brengen met een Data Protection Impact Assessment (DPIA). Dit geeft inzicht in welke gegevens jij verwerkt en wat de impact is bij verlies, diefstal of verkeerd gebruik (datalek).
- Tot slot is er de verplichting tot het bijhouden van een verwerkingsregister. In het verwerkingsregister wordt iedere verwerking van persoonsgegevens gedocumenteerd, zoals: contactgegevens van verantwoordelijke (jij) en verwerkers (je technische partners zoals jouw webbouwer of hostingbedrijf), de doeleinden van de verwerking, de categorieën van persoonsgegevens, en technische en organisatorische beveiligingsmaatregelen. Het hoeft niet ingewikkeld te zijn, met een Excel-document kom je een heel eind. Het is handig om één verwerkingsregister voor al je projecten op te stellen. Dat bespaart je een hoop werk.
De wet vraagt om inspanning en voorbereiding van iedere organisatie die persoonsgegevens verwerkt. De wetgeving betreft alle persoonlijke gegevens in je organisatie, dus niet alleen marketingactiviteiten. Ook mkb’ers en zzp’ers die gegevens verwerken - zoals het simpelweg bijhouden van afspraken en klantinformatie - komen hier niet onderuit. In ons volgende artikel gaan we concreter in op de gevolgen van AVG/GDPR voor je website.