privacywet, faq, gdpr, avg, vragen

Vragen die vaker gesteld worden over de privacywet

Afgelopen weken heb ik al eens wat geschreven over de aankomende privacywet. Er is veel onwetendheid. En er lijkt ook wel dat we ons bang laten maken. Kortom hier een overzicht met veel gestelde vragen over de privacywet zoals bekend op het moment van schrijven.

Privacywet toch nog een gevecht voor veel bedrijven

privacywet, gdpr, avg

De privacywet zorgt toch nog voor veel vragen. Lees daarom deze blog “Privacywet toch nog een gevecht voor veel bedrijven“.

1. Hoe hoog zijn de boetes zijn vragen over?

Iedereen heeft het inmiddels wel gehoord: aan de GDPR zijn hoge boetes verbonden. Er geldt straks een tweeledig boeteregime. Voor zwaardere verplichtingen geldt een hogere maximumboete dan voor minder zwaardere verplichtingen. Een paar voorbeelden:

Zwaar – boete van 20 miljoen euro of 4 procent van de omzet

  • Voor het overtreden van de basisbeginselen van de GDPR zoals de voorwaarden voor het vragen van toestemming.
  • Voor het overtreden van de verplichtingen met betrekking tot de rechten van de individuen, zoals het recht op dataportabiliteit of recht van verzet.

Minder zwaar – boete van 10 miljoen euro of 2 procent van de omzet

  • Voor het niet (of te weinig) implementeren van maatregelen in verband met privacy by design of privacy by default.
  • Voor het inschakelen van een verwerker zonder de wettelijke verplichtingen voor een verwerkersovereenkomst.

Theodoor Gilissen weigerde aan een van zijn klanten inzicht te geven in zijn persoonsgegevens en leidt tot een boete van 48.000 euro. Lees het artikel »

2. Gaan die boetes echt uitgedeeld worden?

Als je de toezichthouder mag geloven, gaan die boetes zeker worden uitgedeeld. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), schroomt niet om dit in de media te benadrukken. De AP heeft straks ook meer bevoegdheden en kan onder omstandigheden bijvoorbeeld ook een boete opleggen aan verwerkers, zoals een e-mail service provider, een searchbureau of een callcenter.

Veel verplichtingen uit de nieuwe wetgeving gelden nu ook al, bijvoorbeeld het recht van verzet in direct marketing. Zeker op die onderdelen kan geen coulance worden verwacht van de toezichthouder. Het advies is: zet alles op alles om tijdig aan de GDPR te voldoen.

3. Welke bedrijven lopen het meeste risico?

Dat is een beetje in een glazen bol kijken. De AP is straks verplicht om klachten van individuen in behandeling te nemen en zal dus meer gaan opereren op basis van die klachten van consumenten. Waarschijnlijk zal de bakker om de hoek dus niet als eerste een handhavingsverzoek krijgen, maar eerder partijen die veel – misschien gevoelige – gegevens verwerken.

4. Wat zijn persoonsgegevens?

De GDPR definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Uit de rechtspraak weten we dat naw-gegevens, e-mailadressen, ip-adressen, locatiegegevens en smartphone-identifiers persoonsgegevens (kunnen) zijn. Maar een klantprofiel, aankoopgeschiedenis of klikgedrag dat bij dat persoonsgegeven hoort, is dan dus ook een persoonsgegeven. Het gaat immers om “alle informatie over…”.

Ook als je persoonsgegevens pseudonimiseert – bijvoorbeeld door hashing of encryptie – is er nog sprake van persoonsgegevens. Pas wanneer je alle identificerende factoren uit het gegeven haalt en er geen reconstructie van het persoonsgegeven mogelijk is, zijn de gegevens anoniem en is er geen sprake meer van een persoonsgegeven.

Uiteindelijk kun je in de praktijk (of bij een juridisch geschil) veel discussie hebben over wanneer er sprake is van een persoonsgegeven. Tot slot worden gegevens van rechtspersonen en overleden personen niet beschouwd als persoonsgegevens.

5. Wat wordt precies verstaan onder het verwerken van persoonsgegevens?

Verwerken is een breed begrip, zelfs ‘opslaan’ is al verwerken. Maar ook gebruiken, analyseren, combineren of verwijderen is verwerken. Je kunt er dus eigenlijk gewoon vanuit gaan dat je persoonsgegevens aan het verwerken bent zodra je ermee te maken hebt.

6. Vallen b2b-gegevens ook onder de GDPR?

Ja, ook een b2b-gegevens, bijvoorbeeld een werkmailadres, kan een persoonsgegeven zijn. Het risico op klachten van mensen bij de AP lijkt hierover lager, omdat een werkmailadres minder invloed heeft op iemands persoonlijke leven dan bijvoorbeeld een privé 06-nummer. De impact op de privacy is doorgaans wat lager, maar de privacywetgeving blijft van toepassing als het persoonsgegevens betreft.

7. Wanneer mag je persoonlijke data gebruiken, oftewel persoonsgegevens verwerken?

Open deur: als je je aan de wetgeving houdt. Voor de verwerking van persoonsgegevens heb je een rechtmatige ‘grondslag’ nodig, net als onder de Wbp. Voor marketing zijn drie grondslagen relevant:

  1. Als de gegevens noodzakelijk zijn om een overeenkomst uit te voeren. Dit gaat echt alleen om noodzakelijke gegevens, en is dus een beperkte grondslag. Denk aan naw-gegevens voor het bezorgen van een pakketje. Maar voor het bezorgen van een pakketje hoef je niet een geboortedatum te weten of het geslacht van de koper.
  2. Als het past binnen je gerechtvaardigd belang en de impact op de privacy beperkt is. Deze grondslag vergt een grondige analyse. Denk aan een verwerking als het gebruik van Google Analytics. Je kunt het zonder toestemming gebruiken, maar dan moet je wel de impact op de privacy van het individu verminderen, onder andere door de gegevens alleen voor analytische doeleinden te gebruiken, te pseudonimiseren en aanvullende afspraken maken.
  3. Als je ondubbelzinnige toestemming hebt van het individu, bijvoorbeeld als iemand heeft aangevinkt een nieuwsbrief te willen ontvangen.

Een van deze grondslagen is voldoende, je hoeft ze niet alle drie te kunnen afvinken.

Een valkuil is daarbij wel dat mensen denken dat ze met het hebben van toestemming voldoen aan alle privacyregels. Ook als je een goede toestemming hebt gevraagd, moet je je uiteraard nog steeds houden aan alle andere regels van de privacywetgeving.

8. Toestemming vragen om gegevens te verwerken moet nu ook al. Wat verandert er?

Toestemming onder de GDPR is aangescherpt ten opzichte van de huidige wetgeving. Maar zo groot is die verandering ook weer niet, mits je de huidige wetgeving goed geïmplementeerd hebt. Toestemming moet eenvoudig te begrijpen zijn, je moet toestemming kunnen bewijzen en mensen moeten actief toestemming geven.

Allemaal vrij logisch eigenlijk en niet een (grote) verandering ten opzichte van de huidige wetgeving. De Europese toezichthouders gaan nog toelichting geven op het effect van de aanscherping en hoe zij daar tegenaan kijken.

9. Wat betekent het recht op dataportabiliteit?

Onder de GDPR krijgen individuen meer controle over hun persoonsgegevens. Het nieuwe recht op dataportabiliteit is daar een voorbeeld van en staat ook wel bekend als gegevensoverdraagbaarheid. Mensen kunnen een deel van hun persoonsgegevens overdragen van de ene aanbieder aan de andere.

Als iemand bijvoorbeeld wil wisselen van bank, energieaanbieder of zorgverzekeraar dan kan hij/zij dus zijn/haar persoonsgegevens meenemen. Dit recht is niet alleen een juridische en technische uitdaging, maar vergt ook een bepaalde mate van samenwerking met concurrenten.

10. Moet ik gegevens ook verwijderen als ik ze heb overgedragen?

Nee, vragen om data over te dragen impliceert niet ook direct een verzoek op het recht van verzet of vergetelheid. Dit kan natuurlijk wel, dus als iemand ook een beroep doet op die andere rechten, moet je daarmee ook aan de slag. Als iemand overstapt, speelt daarnaast natuurlijk de vraag of je de persoonsgegevens nog nodig hebt. Zo niet, dan moet je de gegevens in het kader van dataminimalisatie wél verwijderen.

11. Waar moet ik gebruikers over informeren als ik data verzamel?

Transparantie is een belangrijk onderdeel van de GDPR en als organisatie ben je verplicht je klanten en prospects te informeren over de verwerking van hun persoonsgegevens. Zo moet je bijvoorbeeld informeren over de doeleinden waarvoor je gegevens verwerkt, welke rechten mensen hebben en hoe ze daar gebruik van kunnen maken.

Dit kun je natuurlijk doen in een privacystatement, maar daarnaast kun je ook op andere plekken informeren. Bijvoorbeeld in een inlog-omgeving, met ‘hover overs‘ bij een aanmeldformulier of door in een filmpje uit te leggen wat je precies doet. Sluit aan bij je doelgroep en leg zo eenvoudig mogelijk uit wat je waarom aan het doen bent, zo ben je veel vragen voor.

12. Wat moet ik veranderen in mijn privacystatement?

Veel dingen blijven hetzelfde. Je moet blijven informeren over de soorten persoonsgegevens die je verwerkt en voor welke doeleinden je dat doet. Daarnaast moet je consumenten informeren over hun rechten, inclusief de nieuwe rechten zoals het recht op dataportabiliteit en het recht om vergeten te worden. Ook moet je duidelijk maken hoe lang je gegevens bewaart, of de data eventueel aan derden worden doorgegeven en dat mensen een klacht kunnen indienen bij de AP. Meer over deze vragen in een andere blog.

13. Moet ik altijd een verwerkersovereenkomst afsluiten?

Als je een verwerker inschakelt (of als jij als verwerker wordt ingeschakeld), moet je inderdaad een verwerkersovereenkomst afsluiten. Ook dit is niet nieuw, want dat moet nu ook al. De GDPR geeft een vast lijstje met onderwerpen dat je moet behandelen in de verwerkersovereenkomst. Bijvoorbeeld afspraken over de doeleinden van de verwerking, de manier van beveiliging van gegevens, de hulp bij het uitvoeren van rechten van individuen en de manier waarop je omgaat met persoonsgegevens buiten de EU.

Ook moet een verwerker toestemming vragen voor het inschakelen van (een categorie) sub-verwerkers en moet de verwerker met die sub-verwerker(s) weer een verwerkersovereenkomst sluiten. Een behoorlijke papierwinkel dus. Dit kan je digitaliseren.

14. Hoeveel mensen worden in mijn organisatie geraakt door de nieuwe regels?

Omdat data steeds belangrijker wordt voor bedrijven, zullen ook steeds meer mensen ermee te maken krijgen. Het is dus van belang om binnen je bedrijf bewustzijn te creëren over de privacyregels. Dit is vaak ook nodig om aan de privacywetgeving te voldoen, want privacy by design alleen door juristen toe laten passen, is waarschijnlijk niet succesvol.

Niet iedereen hoeft te weten wat een begrip als het gerechtvaardigd belang betekent, maar wel wanneer je te maken hebt met persoonsgegevens en welke collega je kunt inschakelen als je er niet meer uitkomt.

15. Moet ik een DPO aanstellen?

Sommige bedrijven zijn verplicht een data privacy officer (DPO) aan te stellen. Hoe meer gegevens je verwerkt en hoe gevoeliger die gegevens zijn, hoe groter de kans dat je verplicht bent om deze DPO aan te stellen.

Een DPO heeft wettelijk bepaalde taken en heeft een bepaalde mate van ontslagbescherming. Een DPO is dus een speciale titel. In mijn blog heeft jou bedrijf al een DPO aangesteld ga ik er iets verder op in.

Delen mag 🙂

Lees ook