Deloitte blog: ePrivacy 3/6 De Algemene Verordening Gegevensbescherming (AVG)

6 minuten leestijd (1168 woorden)
Wat houdt de AVG eigenlijk in?
Bijna alle bedrijven hebben een online presence. Digitale platformen zijn onmisbaar geworden voor marketeers: social media campagnes worden opgezet, digitale advertenties gepubliceerd, zoekmachines geoptimaliseerd en dat is nog lang niet alles. Bedrijven verzamelen enorme hoeveelheden data, inclusief informatie over (toekomstige) klanten. Die persoonsgegevens kunnen waardevol zijn voor marketeers, maar het speelveld voor het verwerken ervan is onlangs flink aangescherpt door de Europese wetgever: op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) namelijk van toepassing in de hele Europese Unie en landen in de Europese Economische Ruimte (EER). Wat houdt de AVG precies in en wat zijn de grootste gevolgen hiervan voor marketeers? Wij lichten het graag toe in deze blog!

Toepassing van de AVG
De wetgever heeft ervoor gekozen om de nieuwe privacy regels vast te leggen in een Verordening. Dat betekent dat het rechtstreeks rechten schept voor individuen, bedrijven, organisaties etc. in alle lidstaten. De AVG geldt echter niet alleen voor de verwerking van persoonsgegevens door Europese organisaties. Ook organisaties die buiten de EU zijn gevestigd moeten voldoen aan de regels indien zij persoonsgegevens verwerken van EU inwoners. De toepassing van de privacy regels wordt dus veel breder getrokken.

Boetes
Een inbreuk op de AVG kan zware boetes opleveren. De boetes kunnen namelijk oplopen tot het meerdere van 4% van de wereldwijde jaaromzet van het voorafgaande jaar of 20.000.000 euro.

Toestemming
Het verwerken van persoonsgegevens is rechtmatig indien het gebeurt op basis van een gerechtvaardigde grondslag in de wet of als er toestemming is gegeven daarvoor. In sommige gevallen is het rechtmatig verwerken dus alleen mogelijk op basis van verleende toestemming.

De AVG stelt hoge eisen aan de wijze waarop iemand zijn toestemming verleent. Toestemming moet namelijk gegeven worden door middel van een duidelijk actieve handeling en moet ook te alle tijden kunnen worden ingetrokken. De toestemming moet een vrije, specifieke en geïnformeerde keuze zijn en moet ondubbelzinnig zijn. Een vooraf aangekruiste hokje of melding dat inactiviteit als toestemming geldt, zal niet meer geaccepteerd worden. Dit betekent dat er in principe altijd toestemming moet worden gevraagd, bijvoorbeeld voor het verwerken van e-mail adressen om aanbiedingen te sturen of voor het opslaan en gebruiken van NAW-gegevens. Het sturen van een e-mail met aanbiedingen omdat het e-mailadres al in het systeem staat kan niet meer zonder dat er daar expliciet toestemming voor is gegeven. Dit geldt ook voor het plaatsen van cookies op een website. Onder de AVG kan niet meer worden volstaan met de melding dat het negeren van de cookie banner als toestemming wordt gezien voor het plaatsen van cookies. De AVG gaat daarmee in de richting van een opt-in in plaats van een opt-out.

Bij het vragen van toestemming voor verwerken van persoonsgegevens is het dus belangrijk om de volgende vier stappen na te gaan:
  1. Is de vraag om toestemming op een duidelijke en makkelijke manier geschreven?
  2. Heeft de betrokkene toestemming gegeven en op welk manier? Kan de toestemming gezien worden als een duidelijk actieve handeling?
  3. Kan de organisatie aantonen dat toestemming is gegeven?
  4. Is het voor de betrokkene ook net zo makkelijk om de toestemming in te trekken als het te geven?
Gezien de strengere eisen voor het verlenen van toestemming, heeft een andere grondslag voor de verwerking de voorkeur. Deze zijn te vinden in Artikel 6, lid 1 van de AVG.

Verantwoordingsplicht
Onder de AVG worden organisaties verantwoordelijk voor de naleving van basisbeginselen inzake het verwerken van persoonsgegevens. Onder basisbeginselen valt bijvoorbeeld het beginsel dat de verwerking op een rechtmatige, behoorlijke en transparante manier moet gebeuren en dat de verwerking gebonden moet zijn aan een welbepaalde, uitdrukkelijk omschreven en gerechtvaardigd doel. Ook mogen alleen de persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel en moeten de persoonsgegevens juist en accuraat zijn. Op het moment dat de persoonsgegevens niet langer nodig zijn voor het doel zullen de gegevens verwijderd of geanonimiseerd dienen te worden op een manier waarop het niet meer mogelijk is om de betrokkene te identificeren. Bovendien dienen persoonsgegevens beveiligd te worden door middel van passende technische of organisatorische maatregelen.

Organisaties moeten dus kunnen aantonen dat zij aantoonbaar in control zijn van het verwerken van persoonsgegevens, bijvoorbeeld dat zij het goed op orde hebben en dit kunnen aantonen aan de hand van documentatie. Voor de marketing afdeling betekent dit dat er moet worden nagedacht over het doel van bijvoorbeeld marketingcampagnes en de persoonsgegevens die daarvoor nodig zijn.

Rechten van betrokkene
De AVG schept een aantal rechten voor betrokkenen. Zo heeft een betrokkene bijvoorbeeld het recht op inzage in de persoonsgegevens die over hem/haar worden verzameld en verwerkt. Een betrokkene heeft het recht om te weten welke gegevens van hem/haar worden verwerkt, wat het doel van de verwerking is, aan wie de persoonsgegevens worden verstrekt en hoe lang de gegevens worden opgeslagen. Ook worden er nieuwe rechten geïntroduceerd die een significante impact kunnen hebben op organisaties. Zo wordt bijvoorbeeld het recht op overdraagbaarheid van gegevens geïntroduceerd waarmee een betrokkene zijn of haar gegevens moet kunnen overdragen aan een andere organisatie. Voor een marketeer zou dit kunnen betekenen dat de verzamelde gegevens overgedragen worden aan een concurrent.

99 artikelen en een jaar te gaan
Met een jaar te gaan voordat de AVG van toepassing wordt, is er nog tijd om je er op voor te bereiden. Maar met de 54,096 woorden en 99 artikelen in de AVG is er nog veel te bespreken. In de volgende ontbijtsessie op 6 juni 2017 zullen we de AVG verder toelichten en bespreken. We volgen de ontwikkelingen op dit gebied en houden jullie op de hoogte via dit kanaal en toekomstige ontbijtsessies. Graag tot 6 juni!

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.

Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business challenges. To learn more about how Deloitte’s approximately 225,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter.

This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.

© 2017 Deloitte The Netherlands

https://iab.nl/event/dossier-eprivacy-algemene-verordening-gegevensbescherming-iabnl/