De AVG-wet – 9 veranderingen in jouw bedrijfsvoering

Door: Roel de Vries
Datum:
Tags: AVG
Leestijd ± 6 minuten

Ken je dat geluid nog van het inloggen op je 56kb-modem? Toen je dat nog deed werd de ‘wet bescherming persoonsgegevens’ gemaakt. Inmiddels gebruiken we internet wel wat anders dan in die tijd en daarom is het tijd voor een nieuwe wet; de Algemene Verordening Gegevensbescherming (AVG). Het betreft een Europese Wet, vandaar dat je hem ook wel in zijn Engelse naam tegenkomt: General Data Protection Regulation (GDPR).

De nieuwe wet gaat op 25 mei 2018 in. Wat gaat er allemaal veranderen voor jouw bedrijf? De belangrijkste wijziging is dat richtlijnen nu omgezet worden in wetgeving. En dat heeft als consequentie dat het niet houden aan de wetgeving ook strafbaar kan worden (met boetes van maximaal 20 miljoen). Als bedrijf moet je daarom goed gaan nadenken hoe je persoonsgegevens in jouw bedrijf gebruikt en dit ook vooral vast gaan leggen. Om je op weg te helpen hebben we hier 9 aandachtgebieden op een rij gezet.

1. Verantwoordingsplicht

Als bedrijf moet je ten alle tijden aan kunnen tonen dat je zorgvuldig omgegaan bent met persoonsgegevens. Als je persoonsgegevens bewaart moet je kunnen verantwoorden waarom je ze bewaart en vooral ook hoe lang je ze bewaart. En zijn deze doeleinden wel gerechtvaardigd? De toezichthouder Autoriteit Persoonsgegevens kan ten alle tijden vragen om bewijs van het veilig en rechtmatig opslaan van persoonsgegevens binnen jouw organisatie.

2. Transparantie

Hoe je met persoonsgegevens omgaat in jouw organisatie moet transparant zijn. Iemand van wie jij de persoonsgegevens hebt opgeslagen, heeft het recht om inzage te krijgen in de gegevens die binnen jouw organisatie van hem of haar aanwezig zijn. Ook moet je diegene de mogelijkheid bieden om de gegevens aan te laten passen of te laten verwijderen.
Als je iemand de mogelijkheid biedt om persoonsgegevens achter te laten moet je ook inzage geven in hoe deze persoonsgegevens verwerkt worden. Denk hierbij aan contactformulieren of bel-me-terug formulieren op je website. Je mag al langer niet zomaar nieuwsbrieven versturen naar je hele klanten- of adressenbestand, officieel moet je hier expliciet toestemming voor hebben. Na mei 2018 is een bedrijf die dit toch (blijft) doen ook daadwerkelijk strafbaar.

3. Recht op dataportabiliteit

Iemand van wie jij persoonsgegevens bewaart, krijgt het recht op dataportabliteit. Dit houdt in dat je als bedrijf verplicht bent om alle persoonsgegevens die je van iemand bewaart af te geven als iemand daarom vraagt. Zo kun je als klant bijvoorbeeld makkelijker overstappen naar een andere leverancier.

4. Recht op vergetelheid

Ook nieuw is het recht op vergetelheid. Zoals de naam al doet vermoeden heb je in een aantal gevallen het recht om een organisatie jouw persoonsgegevens te laten verwijderen. Dit kan bijvoorbeeld in de volgende situaties:

  • De gegevens zijn niet meer nodig voor het doel waar ze ooit voor verzameld zijn.
  • De betrokkene trekt de toestemming voor het gebruik van zijn gegevens in.
  • De persoon achter de gegevens maakt bezwaar tegen het gebruik. Hiervoor moeten de belangen van de persoon groter zijn dan de bedrijfsbelangen. Als je als bedrijf de persoonsgegevens nodig hebt om bijvoorbeeld facturen te versturen, dan geldt het recht op vergetelheid bijvoorbeeld niet.
  • De organisatie verwerkt de gegevens anders dan is aangegeven bij het verzamelen.
  • De bewaartermijn van de gegevens is verstreken.
  • De betrokkene is jonger dan 16 jaar.

5. Profiling

Weet je nog dat ik het in mijn vorige blog over ‘online marketingtrends in 2018’ over het persoonlijker maken van marketingboodschappen had? Om dit te doen kun je als bedrijf aan profiling doen; op basis van iemands gedrag een profiel opstellen. Met dit profiel kun je dan persoonlijke aanbiedingen en ervaringen op je website maken. Dit mag met de komst van AVG nog steeds, maar je moet als klant of bezoeker wel de mogelijkheid hebben om je hier tegen te verzetten of aan te geven dat je dit niet wilt. De organisatie moet profilen voor jou dan uitschakelen.

6. Persoonsgegevens delen

Een organisatie mag in bepaalde gevallen persoonsgegevens delen. Er geldt altijd dat de organisatie er wel transparant over moet zijn. Dus niet alleen dat het de informatie deelt, maar ook wat de derde partij ermee doet. Gevallen waarbij persoonsgegevens gedeeld mogen worden:

  • Met toestemming van degene van wie de persoonsgegevens zijn als diegene ook weet waarvoor de toestemming is en wat de gevolgen zijn. Deze toestemming kun je trouwens op elk moment intrekken.
  • Als het delen nodig is om de overeenkomst uit te voeren. Denk hierbij aan het doorgeven van het adres aan de postbezorger om een pakket te kunnen leveren.
  • Bij een gerechtvaardigd belang van de organisatie, dus bij normale bedrijfsvoering of dagelijks beheer van een organisatie. Als organisatie moet je echter wel nagaan of alle gedeelde informatie ook echt noodzakelijk is, kun je door minder informatie te delen hetzelfde doel behalen?

En iets meer ingewikkeld:

  • Om te voldoen aan wettelijke verplichting. Een belastinginspecteur mag bijvoorbeeld gegevens opvragen als dat nodig is om belasting te kunnen heffen.
  • Als er een vitaal belang is voor de eigenaar van de persoonsgegevens. Denk bijvoorbeeld aan je bloedtype net nadat je een ongeluk hebt gehad.
  • Om een publiekrechtelijke taak uit te voeren. Het OM kan bijvoorbeeld persoonsgegevens aan verzekeraars geven om een schade te kunnen verhalen.

7. Noodzakelijkheidseis en registers

Bij het ontwikkelen van producten, diensten en processen moet je telkens privacy in je achterhoofd houden. Is het noodzakelijk dat ik al deze persoonsgegevens verzamel? Is het noodzakelijk dat ik ze bewaar? En moet iedereen in de organisatie toegang tot alle gegevens hebben?

Onder de 250 medewerkers ben je niet verplicht een register bij te houden, tenzij je gevoelige persoonsgegevens in jouw organisatie hebt. In zo’n register registreer je alle bedrijfsactiviteiten waarbij persoonsgegevens verwerkt worden.

8. Meldplicht gegevensverwerking en datalekken

De meldplicht voor datalekken was al van kracht in Nederland, maar vanaf mei ook in de hele EU.

De meldplicht voor gegevensverwerking wordt iets versoepeld. Dit hoeft nu alleen als je op grote schaal bijzonder gevoelige persoonsgegevens verwerkt, persoonsgegevens systematisch verwerkt of vermoedt dat de verwerking van persoonsgegevens een grote invloed op de betrokkenen heeft.  In de praktijk is dit met name van toepassing voor bedrijven met gevoelige informatie als medische gegevens, gegevens over levensovertuiging of strafrechtelijke gegevens.

9. Functionaris gegevensbescherming

Een functionaris gegevensbescherming is iemand die persoonsgegevens beschermt. Je kunt daar als bedrijf iemand vrijwillig voor aanstellen, maar in sommige gevallen is dit verplicht. Deze gevallen zijn:

  • Je bent een overheidsinstantie
  • Je verwerkt op grote schaal bijzondere persoonsgegevens, dit is een kernactiviteit van jouw organisatie.
  • Je volgt op grote schaal mensen, dit is een kernactiviteit. Bedrijven die profiling als kerntaak hebben bijvoorbeeld.

Niet AVG-vriendelijk worden, maar AVG-vriendelijk zijn

AVG is in onze ogen met name een nieuwe manier van werken. Zoals hierboven genoemd moet je in principe vanaf nu bij elk proces privacy in je achterhoofd gaan houden. Het is niet even ‘wat documenten opstellen’ en dan weer business-as-usual, maar een continu proces. Pak nu je agenda erbij en plan voor binnenkort een bijeenkomst met mensen uit verschillende lagen van je organisatie. Bespreek alle momenten dat er persoonsgegevens gebruikt worden en neem die eens onder de loep. Hoe goed ben jij al bezig?

Ook eResults is druk bezig met het bekijken hoe wij met persoonsgegevens om gaan. De komende tijd kun je als eResults klant wat extra nieuwsberichten en aanpassingen aan FifthGear en Bulletin verwachten. Zo zorgen wij dat het website- en nieuwsbrief onderdeel van jouw bedrijf goed geregeld is!

Doorpraten naar aanleiding van dit blog? Bel mij.
030 242 0931
Terug naar het overzicht

Wil je artikelen eerder lezen?

Schrijf je in voor onze tweemaandelijkse nieuwsbrief