AVG / GDPR: wat verandert er nou echt?

Home » AVG / GDPR: wat verandert er nou echt? » Blogs Contractenrecht » AVG / GDPR: wat verandert er nou echt?

AVG/GDPR: wat verandert er NOU ECHT?

Deze laatste maanden voor inwerkingtreding van de nieuwe Privacy wet zijn veel bedrijven en instellingen wakker aan het worden. Wat verandert er nou echt? En wat ik moet ik nu eigenlijk echt doen? Dit zijn de vragen die rijzen.

De modellen die ik aanlever via https://privacyvoorondernemers.nl worden goed verkocht. Het doet me deugd dat veel ondernemers privacy serieus nemen, hoe vervelend de administratieve rompslomp ook is. Er zijn pakketten afgestemd op ZZP, MKB en Zorgverleners.

Ik zal je nog even toelichten wat er nou eigenlijk verandert ten opzichte van de huidige regels. Er is ongeveer 60% overlap tussen de bestaande Wet Bescherming Persoonsgegevens (WBP) en de nieuwe AVG wetgeving. Wanneer jouw organisatie al conform de Wbp handelt, ben je dus al goed op weg. Wat je nu vooral moet doen, is gaan registreren én bijhouden wat je doet, waarom je dat doet, voor wie je dat doet, wanneer je persoonsgegevens verwijdert etc. Verantwoorden wat je doet, dat is het grootste verschil, onder druk gezet door hoge boetes bij het niet voldoen aan die verplichting(en).

Ruimere definitie van persoonsgegevens

De definitie van persoonsgegevens is onder de AVG ruimer. Meer gegevens vallen onder de beschermingsregels. Een duidelijk voorbeeld van een vernieuwd persoonsgegeven is dat als je bijvoorbeeld het gedrag van je websitebezoekers bijhoudt op basis van IP-adres, dat IP-adres voortaan ook geldt als persoonsgegeven.

Meer nadruk op verantwoordelijkheid

Een groot verschil zit hem in de zogenoemde ‘accountability’. In vergelijking met de WBP komt hiermee meer nadruk te liggen op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wetgeving houden. Je moet dus precies weten en vastleggen wat er met persoonsgegevens binnen jouw organisatie gebeurt: hoelang sla je ze op, voor welke doeleinden en op welke locatie? Daarbij moet je met documenten kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Ook de juistheid van gegevens is van belang: de data die je bewaart moet up-to-date worden gehouden. Uiteraard is dit laatste punt in sommige branches (bijv. de gezondheidszorg) een meer kritiek punt dan andere branches.

Toestemming voor verwerking persoonsgegevens

De AVG zorgt ervoor dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden hiervoor versterkt en uitgebreid. Zo zijn de regels met betrekking tot het verkrijgen van toestemming aangescherpt. Als organisatie moet je aan bepaalde voorwaarden voldoen om geldige toestemming van iemand te krijgen voor de verwerking van zijn of haar persoonsgegevens en je moet alle toestemmingen bewaren als bewijsvoering. Dat kan een flinke administratieve last zijn.

Doorgeven van gegevens

De Wbp bood mensen al het recht om een organisatie te verzoeken hun persoonsgegevens te verwijderen. De AVG voegt hieraan het recht toe om te eisen dat de organisatie deze verwijdering doorgeeft aan alle andere organisaties die deze gegevens via het bedrijf hebben ontvangen.

Ook het recht op dataportabiliteit is nieuw. Dit houdt in dat men (onder bepaalde voorwaarden) het recht heeft om van een organisatie hun persoonsgegevens in een standaardformaat ontvangen. Een interessante toevoeging, want wanneer iemand naar een andere leverancier wil overstappen, kan deze persoon zijn of haar gegevens bij de oude leverancier opvragen en makkelijk doorgeven aan de nieuwe.

De AVG en (e-mail)marketing

In tegenstelling tot wat veel mensen denken brengt de AVG niet veel veranderingen voor e-mailmarketing met zich mee. Het regelen van toestemming voor het verzenden van commerciële (opt-in) wordt nog steeds geregeld in de Telecommunicatiewet. Wat wel verandert door de AVG is de manier waarop toestemming gevraagd moet worden:

  • Je moet specifiek aangeven welke informatie in welke frequentie gestuurd gaat worden.
  • Toestemming moet expliciet gegeven (en ingetrokken kunnen) worden (dus geen vooraangevinkte vakjes of verwijzing in de algemene voorwaarden).
  • Je moet kunnen aantonen dat de toestemming op een juiste manier is verkregen.

Naast de AVG is de Europese Commissie (EC) bezig met het wetsvoorstel voor een nieuwe ePrivacy Verordening. Deze verordening regelt de inzet van e-mail- en telemarketing.