Geschreven door Sophie

Het is bijna zover: op 25 mei 2018 treedt de nieuwe privacywetgeving in werking. Deze wordt de GDPR (General Data Protection Regulation), of in het Nederlands de AVG (Algemene Verordening Gegevensbescherming) genoemd. In deze wetgeving staan herziene richtlijnen voor de verzameling van data. De AVG is van toepassing op iedere organisatie die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt.

In dit artikel ga ik in op de veranderingen voor online marketing die de wet met zich meebrengt. Dat zijn er namelijk een hoop. Bijna alle marketingactiviteiten op het gebied van de verwerking van persoonsgegevens worden door de wet beïnvloed. Let op: het is pittige 😉 stof, maar wel erg belangrijk!

Waarom wordt de AVG wet ingesteld?

In Nederland geldt momenteel de Wet bescherming persoonsgegevens (Wbp) die toezicht houdt op de verwerking van persoonsgegevens. Met de AVG wil men ervoor zorgen dat de consument meer inzicht en zeggenschap krijgt in de verwerking van persoonsgegevens. Organisaties moeten aan kunnen tonen hoe zij veilig omgaan met deze gegevens. Daarnaast wordt de wet door middel van de AVG gelijk getrokken voor heel Europa en zijn er geen verschillen meer in de manier waarop gegevens verwerkt worden.

De AVG betekent kort gezegd dat je veel specifieker toestemming van de gebruiker moet krijgen om bepaalde gegevens te verzamelen. Er zijn 3 categorieën gegevens:

  • Persoonsgegevens: dit is ieder gegeven dat kan worden herleid tot een identificeerbaar natuurlijk persoon. Bijvoorbeeld NAW-gegevens, IP-adres, geboortedatum, huidige locatie en e-mailadres.
  • Pseudo anonieme data: dit zijn persoonsgegevens die verwerkt zijn op een manier waarop data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon individualiseerbaar maakt. Bijvoorbeeld een versleuteld e-mailadres of een klantnummer dat alleen via een goed beveiligde database gelinkt is aan andere data.
  • Anonieme data: dit zijn gegevens waarvan alle persoonsgerelateerde data die het mogelijk maken om terug te herleiden verwijderd is. Dit valt buiten de AVG.

Wat verandert er met de komst van de AVG?

De AVG verschilt in een aantal opzichten met de huidige wetgeving in Nederland. Onderstaande punten omschrijven de belangrijkste wijzigingen met betrekking tot online marketing.

Expliciete toestemming
De AVG zorgt ervoor dat de consument meer rechten krijgen. Er moet per soort persoonsgegeven dat verwerkt wordt expliciete toestemming verkregen worden. Een organisatie moet aan kunnen tonen dat zij toestemming verkregen hebben om de gegevens te verwerken. Daarnaast hebben consumenten het recht om een verzoek tot verwijdering van hun gegevens in te dienen. Dit verzoek zal binnen 1 maand uitgevoerd moeten worden, of er moet binnen die periode vermeld worden waarom er niet aan het verzoek voldaan kan worden (bijvoorbeeld wanneer dit technisch niet mogelijk is).

Handhaving
Er zal met de nieuwe wetgeving veel strenger gecontroleerd worden of deze nageleefd wordt. Er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG. Als dit niet het geval is zijn de maximale boetes die gegeven kunnen worden 20 miljoen euro of 4% van de jaaromzet. In de huidige privacywet is de maximale boete per overtreding 900.000 euro, dit is dus een groot verschil. Ook kunnen burgers met ingang van de AVG zelf naar de Autoriteit Persoonsgegevens stappen om privacyovertredingen te melden.

Cookiemelding
Een cookiewall is niet meer toegestaan, aangezien de website geheel moet functioneren, onafhankelijk van toestemming. Bij de huidige cookiewet is impliciete toestemming zoals een balk met ‘als u doorgaat accepteert u onze cookies’ voldoende. Dit is met de AVG niet meer zo. Later in dit artikel kom ik terug op hoe een cookiemelding er volgens de wetgeving uit kan zien.

Wanneer mag je persoonsgegevens verwerken?

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens. De gegevens mogen alleen verwerkt worden als deze zijn gebaseerd op minimaal één van de 6 grondslagen. Voor online marketing zijn onderstaande 2 grondslagen relevant.

1. Toestemming van de betrokken persoon.

  • Je mag iemand niet benadelen wanneer er geen toestemming gegeven wordt.
  • Mensen moeten geïnformeerd worden over de identiteit van de organisatie, het doel van de gegevensverwerking, welke gegevens je verzamelt en gebruikt en het recht dat ze hebben om de toestemming weer in te trekken.
  • De toestemming moet gelden voor een specifieke verwerking en een specifiek doel. Voor meerdere doelen moet je meerdere malen afzonderlijk toestemming vragen.
  • ‘Wie zwijgt, stemt toe’ geldt niet, net als vooraf ingevulde vinkjes. Er moet een duidelijke actieve handeling zijn.
  • Toestemming intrekken moet net zo makkelijk zijn als toestemming geven.
  • Er moet aangetoond kunnen worden dat er geldige toestemming is verkregen.

2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.

Er mag op deze grondslag gebaseerd worden als je een overeenkomst met iemand hebt en het verwerken van persoonsgegevens hiervoor noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben. Als je meer persoonsgegevens dan alleen noodzakelijk verwerkt moet je hier nog apart toestemming voor krijgen. Voorbeeld: als je een product via je webshop verkoopt, moet je adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wil je de persoonsgegevens daarnaast ook nog gebruiken om het koopgedrag van iemand te analyseren? Dan moet je hiervoor rechtsgeldige toestemming hebben van de betrokken persoon.

Hoe lang mag je gegevens bewaren?

In de wet staan geen concrete bewaartermijnen vastgesteld. Het is in principe de bedoeling dat gegevens niet langer bewaard worden dan noodzakelijk voor het doel waar je deze gegevens voor nodig hebt. Dit verschilt dus per geval. Wanneer er wel een bepaalde wetgeving is die een bewaartermijn voorschrijft moet je dit hanteren. Denk bijvoorbeeld aan de belastingwet waarbij gegevens 7 jaar bewaard moeten worden. Kortom: je kunt zelf een bewaartermijn bepalen, maar dit moet wel beargumenteerd kunnen worden en opgenomen worden in de privacyverklaring. Zorg er ook voor dat de gegevens na deze periode verwijderd worden.

Hoe kan de cookie melding het beste vormgegeven worden?

Zoals beschreven in de grondslagen voldoet een cookiewall of popup niet meer aan de wet. Een cookie banner is wel toegestaan, mits deze aan onderstaande punten voldoet:

  • De cookie banner informeert over de cookies die geplaatst worden. Daarnaast dient er een link naar de privacyverklaring in de banner te staan, zodat alle informatie beschikbaar is voordat er toestemming gegeven wordt.
  • De keuzevakjes voor soorten cookies staan niet vooraf aangevinkt.
  • De cookies worden pas geplaatst nadat er toestemming is gegeven.
  • De website moet toegankelijk zijn gedurende de keuze.
  • Alle cookie keuzes of wijzigingen moeten geregistreerd worden in een log.

Ook bij bijvoorbeeld het aanmelden voor een nieuwsbrief is het niet voldoende om een balk met ‘meld je aan voor de nieuwsbrief’ te tonen. Voordat men zich inschrijft moeten zij op de hoogte kunnen zijn van de informatie je die via de nieuwsbrief krijgt en hoe je je uit kunt schrijven.

Begrippen AVG

Aansluitend op bovenstaande informatie zijn er nog een aantal belangrijke begrippen binnen de AVG die ik als afsluiting van dit artikel zal toelichten.

Verantwoordelijke

Degene die verantwoordelijk is voor de gegevens die verzameld worden. De verantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens en heeft hier zeggenschap over.

Bewerker

Derde partij die de gegevens van de verantwoordelijke ook verwerkt. Deze partij verwerkt persoonsgegevens ten behoeve van de verantwoordelijke.

Betrokkene

De persoon van wie de persoonsgegevens zijn.

Verwerkersovereenkomst

Tussen de verantwoordelijke en de bewerker moet een verwerkersovereenkomst gesloten worden. In de verwerkersovereenkomst staat onder andere informatie over de gegevens die verwerkt worden en met welk doel, beveiligingsmaatregelen en afspraken over vertrouwelijkheid. Zowel de verantwoordelijke als de verwerker kunnen worden aangesproken op het niet afsluiten van een verwerkersovereenkomst.

Privacy by design

Er wordt al bij het ontwerpen van producten en diensten voor gezorgd dat persoonsgegevens goed worden beschermd en dat er niet meer gegevens worden verzameld dan noodzakelijk.

Privacy by default

Er worden technische en organisatorische maatregelen genomen om ervoor te zorgen dat er standaard alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Denk bijvoorbeeld aan het niet vooraf aanvinken van keuzes.

Verwerkingsregister

Met ingang van de nieuwe wetgeving moeten organisaties een verwerkingsregister bijhouden. Hier staan onder andere contactgegevens van de organisatie, de gegevens die verwerkt worden, het doel van de gegevensverwerking en de beveiligingsmaatregelen in. Zowel de verantwoordelijke als de bewerker moet een register bijhouden. Voor de bewerker is dit register beknopter.

Privacyverklaring

Het verwerkingsregister is de basis voor de privacyverklaring. Op elke website is het verplicht om een privacyverklaring te plaatsen waar informatie staat vermeld over de gegevensverwerking. Volgens de GDPR is het noodzakelijk dat de privacyverklaring beknopt is opgesteld in eenvoudig te begrijpen taal.

Data Privacy Impact Assessment (DPIA)

De DPIA is een manier om vooraf privacyrisico’s van gegevensverwerking in kaart te brengen. Na het uitvoeren van het assessment kunnen er maatregelen getroffen worden om de risico’s te verkleinen. Een DPIA is verplicht als er waarschijnlijk een hoog privacyrisico is voor de betrokkenen, bijvoorbeeld wanneer er op grote schaal bijzondere gegevens verwerkt worden. Op termijn komt er een lijst beschikbaar met verwerkingen waarbij een DPIA verplicht is.

Functionaris voor de gegevensbescherming (FG)

Een functionaris voor de gegevensbescherming houdt intern toezicht op toepassing en naleving van de AVG. Het aanstellen van een FG is in sommige gevallen verplicht, bijvoorbeeld wanneer er op grote schaal bijzondere gegevens verwerkt worden.

We kunnen ons voorstellen dat dit vragen oproept. Neem dan gerust contact met ons op!