AVG 2018: de belangrijkste veranderingen in Jip-en-Janneketaal

Artikel 1 van 3: Interview met André Biesheuvel, register functionaris gegevensbescherming bij Duthler Associates.

Heb jij te maken met Europese klanten? Dan geldt deze wet óók voor jou! Helaas, het is te laat om je kop in het zand te steken voor de AVG. Hij komt er écht. Hij is er zelfs al bijna. Over een kleine twee maanden is de officiële ingang van de wet namelijk. Opletten geblazen met de privacyrechten van je klanten, want voor je het weet mag je 20 miljoen boete of 4% van je jaaromzet afstaan.

 

AVG

Wat houdt AVG nou precies in? AVG staat voor Algemene verordening gegevensbescherming. Dit komt van het Engelse GDPR (General data protection regulation). De AVG gaat vanaf 25 mei 2018 in en het vervangt onder andere de huidige Nederlandse Wet Bescherming Persoonsgegevens (WBP) en geldt tevens voor de hele Europese Unie. Het belangrijkste doel van deze wet is om persoonsgegevens beter te beschermen.

 

Óók voor kleine bedrijven

Alle bedrijven die ook maar het minimale aan persoonsgegevens hebben ontvangen van hun klanten, hebben er mee te maken. Ja, ook de MKB’ers. Zelfs al ben je nog zo’n klein bedrijf. Veel dingen mogen helaas niet meer. Zoals André Biesheuvel (register functionaris gegevensbescherming bij Duthler Associates) zo mooi zei: “Als ik op een dag met het verkeerde been uit bed stap kan ik niet ineens links gaan rijden omdat ik die dag even geen zin heb om rechts te rijden, we hebben ons te houden aan de wet. Zo ook de nieuwe AVG.”

 

De belangrijkste veranderingen

Het belangrijkste doel van de AVG is dus om persoonsgegevens beter te beschermen. Maar wat zijn nou de concrete veranderingen in de praktijk? In het kort zijn dit de belangrijkste punten:

  • Ieder bedrijf dient een register aan te leggen met een overzicht van alle persoonsgegevens;
  • Alle betrokkenen (lees: iedereen waar jij persoonsgegevens van hebt verzameld) moeten geïnformeerd worden over de verwerking van hun gegevens;
  • Je dient een verwerkingsovereenkomst te sluiten met alle derde partijen die jouw verzamelde persoonsgegevens verwerken.

 

Grondbeginselen AVG in het kort

1. Doelbinding

Persoonsgegevens mogen alleen verwerkt worden voor het doel waarvoor je ze hebt verzameld. Voorbeeld: Stel je vraagt iemands persoonsgegevens (e-mail, naam, etc.) om iedere maand een nieuwsbrief te verzenden. Deze gegevens mag je dan niet gebruiken om vervolgens aan andere bedrijven/derden te verstrekken.

Daarnaast heb je te maken met een gerechtvaardigd belang bij het verwerken van persoonsgegevens. Gerechtvaardigd belang houdt in dat de doeleinden relevant moeten zijn voor de betrokkene. Weet je niet of de doeleinden relevant genoeg zijn? Stel jezelf dan altijd deze vraag: what’s in it for them? Als je die vraag duidelijk kunt beargumenteren, dan zit je in de goede richting.

2. Transparantiebeginsel

Om duidelijkheid te geven over de verwerking van persoonsgegevens, moet je informatie verstrekken aan de betrokkenen over de verwerking van zijn/haar persoonsgegevens. Je dient de betrokkene tevens te wijzen op zijn of haar rechten. Ook heeft de betrokkene ten alle tijden recht om zijn/haar gegevens onder andere in te zien, te rectificeren (herstellen van fouten) en te verwijderen.

3. Noodzakelijkheidsbeginsel

Gegevens mogen alleen verwerkt worden als dit noodzakelijk is voor de eerder genoemde doeleinden. Als de gegevens worden verwerkt op een manier die niet valt binnen de doeleinden die je hebt afgesproken met je klanten, moet worden afgezien van het verwerken van de gegevens. Kortom: hou je aan de afspraken!

4. + 5. Proportionaliteit- en subsidiariteitsbeginsel

Dit is een lastige! Deze verandering houdt in dat er een balans (proportioneel) moet zijn tussen (1) het gerechtvaardigd doel (het afgesproken doeleinde van verwerking) en (2) het effect van de verwerking voor de klant. Dit hangt samen met de volgende verandering (subsidiariteit), namelijk dat de gegevens op de minst ingrijpende manier voor de klant moet worden verwerkt. Is er een manier waarop het minder ingrijpend is voor de klant? Dan ben je verplicht die minder ingrijpende manier aan te houden!

6. Accountability en audibility

Ten slotte dien je als bedrijf alle persoonsgegevens die worden verwerkt inzichtelijk te documenteren (te denken aan het bijhouden van een register, plaatsen van statements op de website, het aanpassen van de algemene voorwaarden, etc.). Naast het documenteren van de persoonsgegevens ben je ook verplicht bij te houden waar de gegevens verwerkt worden en waarom jouw aanpak voldoet aan de AVG.

 

Meer weten over de nieuwe AVG? Lees ook ons tweede artikel: AVG: de impact op de samenleving

 

Hulp nodig bij het opzetten van een online campagne die AVG-proof is? Vraag een vrijblijvend gesprek met ons aan.

Je bent wellicht geïnteresseerd in..

Berichten

Performance based marketing

Lees meer