Deloitte blog: De Algemene Verordening Gegevensbescherming (AVG)

8 minuten leestijd (1534 woorden)
 
Dat privacy een hot topic is, was op 6 juni in het auditorium van De Persgroep wel duidelijk: de aanwezigen stelden veel actuele en interessante vragen over het speelveld voor het verwerken van persoonlijke gegevens! De nieuwe Europese privacyregels roepen namelijk veel vragen op en bedrijven zijn op zoek naar antwoorden. Tijdens de privacy ontbijtsessie was het aan ons de eer om toelichting te geven over de nieuwe privacy regels en de impact daarvan op marketeers. In deze blog doen we verslag van de ontbijtsessie en weiden we verder uit over de besproken onderwerpen.
  1. De AVG: back to basics
Het onderwerp van de ontbijtsessie was de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van toepassing wordt in de hele Europese Unie en landen in de Europese Economische Ruimte (EER). Tijdens de sessie werden er een aantal vragen gesteld over de AVG in het algemeen: wanneer wordt het van toepassing, wat is de reikwijdte ervan, wat zijn belangrijke definities, over welke partijen hebben we het precies enzovoort. Om de basis scherp te krijgen, stappen we even terug naar wat achtergrondinformatie. Zie ook de vorige introductie blog over de AVG.

Een Verordening
De Europese wetgever heeft er bewust voor gekozen om de privacy regels vast te leggen in een Verordening om zo een gelijk speelveld te creëren tussen de verschillende EU lidstaten. Een Verordening heeft namelijk rechtstreekse werking en heeft daarmee in alle lidstaten directe dezelfde kracht als landelijke wetgeving. Ook zijn de regels hetzelfde in alle landen en kunnen burgers en bedrijven zich direct beroepen op de Verordening.

Het betreft persoonsgegevens over natuurlijke personen
De regels van de AVG hebben betrekking op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Maar hoe kunnen we persoonsgegevens definiëren? Volgens de AVG zijn dit alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het gaat dus om gegevens die herleidbaar zijn tot een natuurlijke persoon. Voorbeelden hiervan zijn contactpersonen bij een zakelijke klant of een eenmanszaak maar ook gegevens die tot individuele consumenten kunnen herleiden. Denk hierbij aan een e-mailadres, telefoonnummer of locatiegegevens maar ook aan foto’s die op social media worden geplaatst of informatie over familiebanden.

Drie grote spelers
Er zijn drie grote spelers in de AVG: de betrokkene, de verantwoordelijke en de verwerker.
  • Een betrokkene is de natuurlijke persoon die direct of indirect kan worden geïdentificeerd, dat is degene waar de persoonsgegevens over gaan.
  • De verantwoordelijke is degene die het doel en de middelen voor het verwerken van de persoonsgegevens bepaalt. Dit kan een natuurlijke persoon of rechtspersoon zijn maar ook een overheidsinstantie, een dienst of ander orgaan. Ook kan het een combinatie van deze partijen zijn die samen het doel van de verwerking bepalen.
  • De verwerker is de partij die de persoonsgegevens verwerkt namens de verantwoordelijke. Dit kan, zoals bij de verantwoordelijke, ook een natuurlijke persoon zijn of een rechtspersoon, overheidsinstantie of een ander orgaan.
 

  1. Belangrijke veranderingen
In de ontbijtsessie waren jullie uiteraard benieuwd naar de belangrijkste veranderingen en waar bedrijven rekening mee moeten houden komend jaar.

Reikwijdte van de AVG buiten de EU?
De vraag over de internationale toepassing van de AVG kwam ter sprake: wat is de internationale reikwijdte van de AVG? Het is belangrijk om te weten dat de AVG van toepassing is op het moment dat je data van Europese burgers verzamelt en verwerkt, ongeacht of de verwerking plaatsvindt in de Europese Unie. De AVG is dus van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden. Het is niet van belang of de verantwoordelijke of verwerker zich buiten de Unie heeft gevestigd. Wat is de hoofdregel dus? Als het om EU burgers gaat, dan is de AVG van toepassing.

Het recht om vergeten te worden
Betrokkenen zijn een van de drie grote spelers in de AVG. Tijdens de sessie kwamen er dus ook specifieke vragen over de (nieuwe) rechten van betrokkenen. Zo kwam er bijvoorbeeld een vraag over hoe het precies zit met het recht om vergeten te worden?

Het recht om vergeten te worden betekent in principe dat persoonsgegevens gewist moeten worden als een betrokkene daarom vraagt. Het recht is alleen van toepassing in bepaalde gevallen, bijvoorbeeld als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor ze verzameld zijn. Het recht om vergeten te worden kan ook ingeroepen worden indien een betrokkene bezwaar maakt tegen de verwerking omdat de persoonsgegevens zonder wettelijke grondslag worden verwerkt en er daarmee een onrechtmatige verwerking plaatsvindt. Ook kan het zijn dat een betrokkene zich beroept op het recht van bezwaar tegen direct marketing en zijn gegevens graag verwijderd wil hebben.

Maar tijdens de sessie was het meest interessante voorbeeld duidelijk het recht om vergeten te worden in verband met het intrekken van toestemming door de betrokkene. Een betrokkene die eerder uitdrukkelijke toestemming heeft gegeven voor een verwerking kan die namelijk intrekken. Op dat moment kan het recht om vergeten te worden van toepassing zijn. Wat gebeurt er als een betrokkene vergeten wil worden en een organisatie daarin meewerkt maar de betrokkene vervolgens toestemming geeft voor een nieuwe verwerking? Wat gebeurt er bijvoorbeeld als een betrokkene vervolgens een nieuwe cookie accepteert? In principe begint de organisatie dan op nieuw met een nieuwe verwerking!

Profilering
Het onderwerp van profilering kan interessant zijn voor het werk van de marketeer. Zo kan de basisinformatie over website bezoekers verder uitgebreid worden en kan er meer geleerd worden over een (potentiele) klant. Ook kunnen er voorspellingen worden gedaan over het gedrag van de klant, wat van toegevoegde waarde kan zijn voor indirecte marketing doeleinden. Zo kunnen er op basis van profilering bepaalde links worden gelegd. Op het moment dat een betrokkene onderworpen is aan profilering en er rechtsgevolgen aan zijn verbonden of de profilering hem in ‘aanmerkelijke mate treft’, stelt de AVG dat de betrokkene het recht heeft om niet onderworpen te worden aan profilering. Het is bijvoorbeeld voorboden om een leningsaanvraag af te wijzen als de beslissing uitsluitend berust op een geautomatiseerde beslissing, waaronder profilering.

Twee tips
Gezien de ontwikkelingen rondom privacy en de AVG, geven we je graag een tweetal tips mee voor de toekomst. Tijdens de ontbijtsessie werd er namelijk een paar keer gevraagd hoe bedrijven zich het beste op kunnen voorbereiden in het jaar voordat de AVG van toepassing wordt. Hierbij onze top tips:
  1. Breng je verwerkingen in kaart
Met een goed basis en een duidelijk overzicht is er al een grote stap in de goede richting gezet. Begin daarom met het opstellen van een register van verwerkingen. Breng in kaart wat voor verwerkingen er plaatsvinden. Dit maakt het vervolgens makkelijker om processen in te richten op een AVG-vriendelijk manier.

  1. Denk aan de doelbinding
Als het gaat om het verzamelen en verwerken van persoonsgegevens, denk dan ook aan de reden erachter. Maak concreet waar de data voor gebruikt gaat worden en ook hoe de data gebruikt gaat worden. Zorg bijvoorbeeld voor een duidelijke omschrijven van waarom de verzameling en verwerking nodig is en voor welk doel, maar ook de manier waarop de gegevens verzameld en verwerkt gaan worden. In het voorbeeld van profilering: maak concreet hoe profilering gebruikt gaat worden binnen het bedrijf, waarom deze keuze is gemaakt en wat de gevolgen daarvan zijn.

Tot slot
In principe kan alles ingericht worden en kan privacy een echte business enabler zijn. Zo kan een bedrijf zich bijvoorbeeld positioneren als een betrouwbare entiteit waar persoonsgegevens en de bescherming daarvan serieus genomen worden. Uiteindelijk zal de toepassing van de AVG in de praktijk worden beoordeeld maar met het aantonen van bewuste privacy keuzes, kunnen marketeers al een stap in de goede richting zetten.

____________________________

Wij danken jullie voor de vele boeiende vragen en de interactieve sessie! Wij zullen de ontwikkelingen op dit gebied blijven volgen en houden jullie via deze weg en toekomstige ontbijtsessies op de hoogte. Graag tot de volgende keer!

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.

Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business challenges. To learn more about how Deloitte’s approximately 225,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter.

This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.

© 2017 Deloitte The Netherlands