De 5 meest gestelde vragen over AVG/GDPR

Nog twee maanden tot de privacywet AVG/GDPR in werking treedt en nog steeds zijn er veel vragen. Het is in veel artikelen al over marketing gegaan, maar wat is er nu voor iedereen belangrijk? (Bronvermelding: Frankwatching)

1. Voor wie gaat de privacywet AVG gelden?

De AVG (Algemene Verordening Gegevensbescherming, ook bekend onder de Engelse afkorting GDPR) geldt voor elke ondernemer of organisatie die te maken heeft met persoonsgegevens. Elke ondernemer heeft klanten en de naam van je klant is al een persoonsgegeven. Zelfs bij reacties onder blogs op een website, heeft de blogger al met de AVG te maken.

Alleen gegevens voor persoonlijke gebruik – denk aan de gegevens in je telefoonboekje, de verjaardagskalender, telefoonnummers in je telefoon en WhatsApp-groepen, en in persoonlijke notities – vallen niet onder de AVG.

2. Wat valt er onder persoonsgegevens?

Onder persoonsgegevens vallen natuurlijk namen, adressen, telefoonnummers en e-mailadressen. De KvK-gegevens van eenmanszaken en VOF’s zijn meestal ook persoonsgegevens.

Wat verandert onder de AVG, is dat een zakelijk doorkiesnummer en zakelijk e-mailadres ook persoonsgegevens zijn. Voorheen zou mijn persoonlijke zakelijke mailadres [email protected] bijvoorbeeld geen persoonsgegeven zijn geweest, omdat het een e-mailadres is dat bij mijn bedrijf hoort en niet mijn persoonlijke e-mailadres is. Maar onder de AVG zijn ook dit soort gegevens persoonsgegevens. Dat maakt het lastig bij eenmanszaken en VOF’s: een algemeen e-mailadres zoals [email protected] kan toch een persoonsgegeven zijn, omdat alleen de eigenaar van het bedrijf dat e-mailadres gebruikt.

Daarnaast bestaan er ook nog bijzondere en gevoelige persoonsgegevens, zoals een burgerservicenummer, geloofsovertuiging, seksuele voorkeur, ras en medische of biometrische gegevens en nog meer van dat soort informatie. Deze mogen minder snel verzameld worden dan de algemene persoonsgegevens.

3. Wanneer mag je persoonsgegevens verzamelen?

Allereerst mogen persoonsgegevens alleen verzameld worden als daar een grondslag uit de AVG voor gebruikt kan worden. Vervolgens mogen die gegevens alleen voor een bepaald doel verzameld worden en mogen de gegevens alleen voor dat doel gebruikt worden.

Er zijn 6 mogelijke grondslagen:

Noodzakelijk voor de uitvoering van een overeenkomst

Voor de uitvoering van de overeenkomst zijn vaak persoonsgegevens nodig. Denk bijvoorbeeld aan webwinkels die de naam en het adres van een klant nodig hebben om de juiste producten naar de juiste persoon en het gewenste adres te kunnen versturen.

Wettelijke verplichting

De wettelijke verplichting kan bijvoorbeeld gelden, omdat je sommige factuurgegevens moet bewaren voor de Belastingdienst.

Gerechtvaardigd belang

Een gerechtvaardigd belang kan een ondernemersbelang zijn, bijvoorbeeld voor statistieken of om klanten aan te kunnen trekken. Er moet bij deze grondslag altijd een afweging worden gemaakt tussen het belang van de verantwoordelijke (de onderneming meestal) en de belangen en grondrechten van de betrokkene. Oftewel, het verwerken van persoonsgegevens op deze grondslag mag niet een te sterke inbreuk maken op de privacybelangen van de betrokkene.

Toestemming

De laatst mogelijke grondslag is die van toestemming. Maar let op: toestemming kan ook weer worden ingetrokken, dus het gebruik van deze grondslag heeft niet de voorkeur. Er mag namelijk niet van grondslag gewisseld worden. Heb je eenmaal ‘toestemming’ als grondslag gebruikt, dan kan er niet na intrekking van de toestemming alsnog gebruik gemaakt worden van de wettelijke verplichting of andere grondslag.

Algemeen belang en vitale belangen

De grondslag van algemeen belang kan eigenlijk alleen gebruikt worden door (semi-)overheid, in bepaalde gevallen. Vitale belangen van de betrokkene is voor de meeste organisaties ook geen geldige grondslag. Dit belang kan bijvoorbeeld gebruikt worden als een persoon in een ziekenhuis behandeld wordt na een ongeluk. Dan is het in het belang van de betrokkene dat het ziekenhuis de persoonsgegevens goed registreert.

Doelen zijn niet vastgelegd in de wet. Die mogen zelf bepaald worden. Belangrijk is alleen wel dat je de betrokkene (via de privacyverklaring) informeert over het doel en dat de gegevens alleen maar gebruikt worden voor dat doel.

4. Visitekaartjes

Wat is nu de waarde van een visitekaartje in het kader van AVG? Wat betekent het eigenlijk? Een visitekaartje heb je om aan anderen te geven, zodat ze contact met je op mogen nemen. Het is dus altijd toestemming om met die persoon contact op te mogen nemen. Dat heb je nodig om te voorkomen dat je een spammer bent. Voor spam hebben we de Telecommunicatiewet die in 2019 vervangen gaat worden door de ePrivacyverordening. De AVG gaat alleen over het mogen verwerken van de persoonsgegevens.

Krijg je een visitekaartje? Dan mag je die ook opnemen in je adressenbestand. Je mag deze persoon alleen nog niet zomaar nieuwsbrieven of andere commerciële berichten toesturen. Deze mensen moeten wel kunnen weten wat je met hun gegevens doet. Beetje lastig om alle informatie met ze te delen als je dat visitekaartje ontvangt. Zorg daarom dat je die informatie wel beschikbaar maakt via een privacyverklaring die je bij het eerste mailcontact kunt toesturen of waar je met een link naar kunt verwijzen.

5. Wie heeft verwerkersovereenkomsten nodig?

In een verwerkersovereenkomst wordt onder meer geregeld waar de verwerker aan moet voldoen en wie waarvoor verantwoordelijk en aansprakelijk is.
Je beseft het misschien niet altijd, maar voor veel zaken die op een computer met de persoonsgegeven gebeuren, worden diensten van derden gebruikt. Staat alles in the cloud? Dan biedt een ander bedrijf waarschijnlijk die serverruimte aan. Zij zullen niets met die persoonsgegevens doen wat jij niet wil (ze zullen er waarschijnlijk niet eens naar kijken), maar ze ‘verwerken’ ze wel door ze voor jou op te slaan op een server. Veel services die meteen ook opslag aanbieden, veel online software bijvoorbeeld, zijn ook verwerkers.

Met al die partijen moet je verwerkersovereenkomsten sluiten. Zowel de verwerkersverantwoordelijke als de verwerker moeten ervoor zorgen dat die overeenkomst er is. De een heeft daar niet per se een grotere verplichting in dan de ander, al heb je als verwerkersverantwoordelijke natuurlijk wel een grotere verantwoordelijkheid voor de persoonsgegevens op zich. Hoe meer controle je over de afspraken wil hebben en hoe meer je de aansprakelijkheid wil verkleinen, hoe beter het is om er zelf een op te (laten) stellen en aan de andere partij aan te bieden.

Recent bekeken