Veel doorlezen om AVG / GDPR regels te kennen en toe te passen De waarde van data neemt toe. En daarmee het aantal gevallen en de gevolgen van identiteitsfraude. Bedrijven krijgen een grotere verantwoordelijkheid in het informeren over, en voorkomen van, misbruik. Dit wordt geregeld in de Algemene Verordening Gegevensbescherming (AVG). Hieronder staan de aandachts- en uitgangspunten beschreven. Wil je ermee aan de slag? Er is een handig GDPR en AVG stappenplan beschikbaar.

AVG / GDPR wetgeving toepassen. Hoe doe je dat?

De Algemene Verordening Gegevensbescherming (AVG) roept veel vragen op. Hieronder behandel ik de belangrijkste vragen waar ik zelf als online marketeer tegenaan loop. Op basis van onderstaande heb ik ook een GDPR en AVG checklist en plan van aanpak bij gebruik Google Analytics en/of Mailchimp ontwikkeld.

Belangrijke punten rond handhaving AVG / GDPR

In de online marketing doet het onderwerp flink nog altijd stof opwaaien. Waar gaat het nu om? De AVG / GDPR is op 25 mei 2016 ingegaan. Vanaf dat moment loopt een overgangsperiode van 2 jaar. Vanaf 25 mei 2018 kan de Autoriteit Persoonsgegevens boetes opleggen voor het overtreden van de AVG wetgeving. In het Engels wordt de AVG GDPR genoemd. Dat staat voor General Data Protection Regulation. Ook die term wordt regelmatig gebruikt. De regeling beschermt een aantal Nederlandse en Europese grondrechten.

Overzicht van de boetes

De boetes die kunnen worden opgelegd bij overtreding van de AVG / GDPR zijn:

  • De wet overtreden bij het verwerken van persoonsgegevens
    • boete nu: € 820.000 of maximaal 10% van de jaaromzet
    • boete straks: € 20 miljoen of maximaal 4% van wereldwijde jaaromzet
  • De wet overtreden door persoonsgegevens onvoldoende te beveiligen (‘data lek’)
    • boete nu: € 820.000 of maximaal 10% van de jaaromzet
    • boete straks: € 10 miljoen of maximaal 2% van wereldwijde jaaromzet

Het eerste punt zegt iets over de voorwaarde waaraan je moet voldoen om persoonsgegevens te verwerken. Het tweede punt komt daarna, en geeft aan dat je voor afdoende beveiliging moet zorgen van de verzamelde persoonsgegevens. De Autoriteit Persoonsgegevens kan vanaf 25 mei 2018 handhaven en bovenstaande boetes opleggen.

Veel geld bij elkaar. De boetes rondom AVG / GDPR kunnen groot zijn

Handhaving AVG / GDPR op basis van 3 lijnen

De handhaving was en is in de praktijk gebaseerd op drie pijlers:

  • naar aanleiding van media- en of politieke aandacht
  • op basis van gekozen focus op branche
  • op basis van melding (kliklijn)

De tweede pijler is gestoeld op de gedachte dat het een afschrikwekkend effect zal hebben op een totale branche als een aantal organisaties worden beboet.

Wat is een persoonsgegeven volgens AVG / GDPR?

Alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon, zijn een persoonsgegeven. De definitie is breed. Alles wat kan leiden naar een natuurlijk persoon valt eronder. Bijvoorbeeld een persoonlijk zakelijk e-mail adres. Maar ook het IMEI-nummer van een smartphone, is een persoonsgegeven volgens de rechter. Want door de route van een bepaalde smartphone te analyseren zou je kunnen afleiden waar iemand woont of werkt en zo zijn identiteit achterhalen. Ook bij wifi-tracking geldt daarom de AVG / GDPR.

Misverstanden bij verwerking persoonsgegevens

Het is belangrijk te beseffen dat de regels betrekking hebben op de verwerking van persoonsgegevens. De wettelijke regels gelden daarom altijd, ongeacht wat je met de gegevens doet. Zodra je een gegeven binnenkrijgt, is er sprake van verwerking. Dit betekent dat:

  • data die direct na gebruik worden verwijderd ook onder de AVG / GDPR vallen
  • ook als de data goed wordt beveiligd moet worden voldaan aan de eisen uit de AVG / GDPR

De wet zegt dat verwerking van persoonsgegevens alleen is toegestaan als het voldoet aan minimaal een van de zes verwerkingsgrondslagen. En daar moet de gegevensverwerking in bovenstaande situaties ook aan voldoen.

Grondslagen voor verwerking in VGA / GDPR

De AVG wetgeving gaat uit van zes grondslagen om persoonsgegevens te mogen verwerken. Je gegevensverwerking moet op minimaal een van de grondslagen gestoeld zijn. Is dat niet het geval, dan overtreed je de wet AVG / GDPR. De zes grondslagen zijn:

  • ondubbelzinnige toestemming
  • noodzakelijk voor uitvoering overeenkomst
  • noodzakelijk in verband met wettelijke verplichting
  • noodzakelijk voor vrijwaring vitaal belang betrokkene(n)
  • noodzakelijk voor invulling publiekrechtelijke taak (bij bestuursorgaan)
  • gerechtvaardigd belang verantwoordelijke, tenzij dit fundamenteel recht of  vrijheid schendt

Waar het gaat om verzamelen van persoonsgegevens voor online marketing en data-analyse, dan gebeurt dit vrijwel altijd op basis van de eerste grondslag ‘ondubbelzinnige toestemming’. Dat lijkt makkelijker dan het is. De wet verbindt diverse voorwaarden aan het verkrijgen van die toestemming.

Gegevens en proces geschikt of ongeschikt voor verwerking binnen AVG / GDPR

Eisen aan ondubbelzinnige toestemming voor wet GDPR

De wet stelt eisen aan de manier waarop toestemming wordt gegeven en verkregen:

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt”

Toestemming voor verwerking vragen

Belangrijke punten in deze beschrijving, waaraan de toestemming moet voldoen, zijn:

  • er is een duidelijk actieve handeling, zoals een schriftelijke of mondeling verklaring. Een persoon moet altijd zelf een handeling doen om toestemming te geven. Niet rechtsgeldig zijn bijvoorbeeld:
    • Vooringevulde checkboxes,
    • akkoord gaan door gebruik, etc.
  • de toestemming moet in vrijheid zijn gegeven. Op gespannen voet hiermee staan:
    • mensen uitsluiten van gebruik die geen toestemming willen geven
    • meer informatie vragen dan strikt noodzakelijk is voor uitvoering van de dienst
  • de toestemming moet gegeven zijn voor een specifieke verwerking. In de informatie moet duidelijk zijn aangegeven met welk doel de gegevens worden verwerkt.
  • de persoon die instemt moet daadwerkelijk geïnformeerd zijn. Een zware juridische tekst voorleggen aan jongeren op een gamingsite leidt er niet toe dat ze geïnformeerd zijn. Want ze snappen de tekst waarschijnlijk niet. Voor die groep zou een video waarin de informatie wordt gegeven in begrijpelijke taal wél kunnen werken.
  • Tot slot moet de toestemming ondubbelzinnig zijn. Er mag geen twijfel bestaan over de vraag of de toestemming bewust is gegeven.

De bewijslast met betrekking tot bovenstaande punten ligt bij de organisatie.

Verwerking van bijzondere persoonsgegevens

Extra aandacht vraagt de verwerking van bijzondere persoonsgegevens. Hiervoor is volgens de AVG / GDPR zelfs uitdrukkelijke toestemming nodig. Dit is omdat deze gegevens de privacy van mensen ernstig beïnvloeden. Voorbeelden van bijzondere persoonsgegevens is informatie over:

  • gezondheid
  • ras
  • godsdienst
  • strafrechtelijk verleden
  • seksuele leven
  • lidmaatschap vakvereniging
  • Burger Service Nummer (BSN)

Wat uitdrukkelijk is, is niet specifiek omschreven. Het alleen zetten van een vinkje voor toestemming is hier wellicht wat mager. Voor het onrechtmatig verwerken van bijzondere persoonsgegevens gelden dezelfde boetes als voor gewone persoonsgegevens. Aandachtspunt is vooral dat de eisen voor het verkrijgen van rechtsgeldige toestemming hoger zijn.

Rechten betrokken personen

De nieuwe regeling AVG / GDPR geeft de betrokken persoon nadrukkelijk meer zeggenschap over wat er gebeurd met zijn of haar gegevens. Hierbij horen de volgende rechten:

  • recht op inzage persoonsegegevens
  • recht op correctie en verwijdering persoonsgegevens
  • recht op verzet
  • recht om vergeten te worden
  • recht op overdracht persoonsgegevens (‘data export’)

Betrokken personen hebben zelf zeggenschap over gegevens

Dit betekent dat organisaties processen moeten inrichten om personen die gebruik willen maken van een of meerdere van deze rechten te faciliteren. Belangrijk daarbij is te beseffen dat de wet eist dat gegeven toestemmingen net zo makkelijker weer moeten kunnen worden ingetrokken. Als mensen via een vinkje toestemming kunnen geven voor verwerking, dan moeten ze bij wijze van spreken dit ook weer via een vinkje in kunnen trekken, wijzigingen eisen of overdracht aanvragen.

Uitgangspunten van de wet AVG / GDPR

Om te weten hoe je de eisen van de AVG / GDPR wetgeving moet interpreteren, helpt kennis over de achtergrond van de eisen. Bij het formuleren is men uitgegaan van een aantal uitgangspunten. De wet beoogd dat die uitgangspunten worden gevolgd door iedereen die persoonsgegevens verwerkt. De uitgangspunten van de AVG/ GDPR zijn:

  • Rechtmatigheid, behoorlijkheid en transparantie. Verwerking is controleerbaar binnen de wet
  • Doelbinding. Gegevens mogen alleen worden verwerkt voor een vooraf vastgesteld doel
  • Dataminimalisatie (‘minimalisatieplicht’). Niet meer gegevens verwerken dan strikt noodzakelijk is
  • Juistheid / actualiteit (‘rectificatieplicht). Betrokkenen bepalen zelf hoe zij geregistreerd willen staan
  • Opslagbeperking (‘vernietigingsplicht’). Gegevens niet langer dan nodig opslaan.
  • Integriteit en vertrouwelijkheid (Beveiligingsplicht). Risico’s op oneigenlijk gebruik minimaliseren
  • En…. Verantwoordingsplicht – Persoonlijke impact analyse (PIA).

De wet is in de geest van bovenstaande uitgangspunten opgesteld. Zorg dat dit ook de uitgangspunten van je data-analyses en verwerking van persoonsgegevens worden.

Uitgangspunten en werkelijkheid bij Big Data

Bovenstaande staat haaks op de ontwikkelingen rondom Big Data. Daar worden juist datasets die voor diverse doeleinden zijn verzameld gecombineerd om nieuwe patronen te ontdekken. Hoezo rechtmatigheid, doelbinding en opslagbeperking? Het wordt de komende tijd interessant om te zien hoe deze wettelijke ontwikkelingen en de verder gaande technologie zich tot elkaar gaan verhouden.

Praktijk van big data en regels AVG / GDPR vaak strijdig met elkaar

Eisen aan beveiliging van persoonsgegevens

In de AVG / GDPR regelgeving zijn geen concrete (minimum) eisen opgenomen ten aanzien van databeveiliging. De eis in de wet is dat het ‘passend en doelmatig’ moet zijn. In de bepaling wat ‘passend en doelmatig’ is, speelt de Persoonlijke Impact Analyse (PIA) een belangrijke rol. Vergelijk het met het stallen van een fiets. Voor een oud barrel, koop je geen slot met drie sterren. Maar zet je je splinternieuwe racefiets er neer, dan gebruik je wellicht wel twee sloten met drie sterren. Met betrekking tot persoonsgegevens is het belangrijk dat je weet of een oud barrel, of een racefiets in huis hebt. Zodat je ‘passende en doelmatige’ beveiliging kunt regelen. Een Persoonlijk Impact Analyse (PIA) helpt dit helder te krijgen.

Help, een datalek, wat nu volgens de AVG / GDPR!?

Onder de huidige wetgeving kent Nederland al de meldplicht datalekken.  Hiermee is een voorschot genomen op de regeling in de Algemene Verordening Gegevensbescherming. De regeling houd in dat:

  • zodra een verantwoordelijke voor de verwerking van het lek vaststelt, moet het zo snel mogelijk, worden gemeld bij de Autoriteit Persoonsgegevens. De melding moet in ieder geval binnen 72 uur plaatsvinden.
  • betrokkenen moeten ook worden geïnformeerd als het een hoog risico vormt voor de vrijheid en/of privacy. Dit hoeft niet als de gegevens bijvoorbeeld versleuteld zijn of de verwerker zelf maatregelen heeft genomen om het risico voor vrijheid en/of privacy te beperken.
  • ieder beveiligingsissue (‘datalek’) moeten worden gemeld bij de Autoriteit Persoonsgegevens.

Let hier wel op. Ieder beveiligingsrisico kan worden aangemerkt als een datalek. Daaronder vallen een inbreuk (hack) op de gegevens, maar ook een verloren laptop, een vergeten USB-stick, een e-mail met data die naar de verkeerde persoon is gestuurd, brand in het datacentrum, etc.

Klein slotje vaak niet genoeg voor beveiliging gegevens volgens VGA / GDPR eisen

Persoonlijke Impact Analyse verplicht in AVG / GDPR

Het belangrijkste doel van een Persoonlijke Impact Analyse (PIA) is inzicht krijgen in de impact bij onrechtmatig gebruik, al dan niet door derden, van de gegevens. Hiertoe wordt de hele keten van gegevensverwerking onder de loep genomen. Binnen de organisatie én bij partijen waarmee de organisatie samenwerkt voor de verwerking van gegevens. Als derde partijen worden ingezet voor gegevensverwerking, dan moet de PIA ook een gegevensbewerker risico-analyse bevatten. En je deelt ongemerkt persoonsgegevens met meer partijen dan je denkt.

  • inschrijvers op je nieuwsbrief met Mailchimp, Clang, Tripolis, etc.
  • data over het bezoek aan de website met Google. En wellicht met Hotjar, Hubspot, etc.
  • contactpersonen in Exact, Salesforce, etc.

Besef dat je verantwoordelijk bent voor wat deze derde partijen met de persoonsgegevens doen. Voor elk van deze partijen moet je een gegevensbewerker risico-analyse maken. En deze op het eerste verzoek kunnen overleggen aan de Autoriteit Persoonsgegevens. Belangrijk onderwerpen in de PIA zijn:

  • de geïnventariseerde risico’s
  • de genomen maatregelen om die te beperken

Op basis van de PIA maak je afspraken met de gegevensverwerkers over onder andere:

  • het doel van de gegevensverwerking
  • het soort persoonsgegevens dat wordt verwerkt
  • wie de gegevens inzien
  • passend beveiligen van de gegevens
  • uitvoeren van controles
  • na afloop vernietigen en terugleveren van gegevens

De afspraken worden vastgelegd in een contract. Het hebben van een PIA en overeenkomsten met gegevensverwerkers laat zien dat je de zaak serieus neemt en erover hebt nagedacht. Mocht er onverhoopt een datalek ontstaan, dan helpt het om een grondige PIA te kunnen overleggen aan de Autoriteit Persoonsgegevens.

Data protection Officer (DPO) / functionaris gegevensbescherming (FG)

Een data protection officer (DPO) / functionaris gegevensbescherming (FG)  adviseert en informeert de organisatie over de omgang met persoonsgegevens. De wetgever wil hiermee meer aandacht voor de privacywetgeving te krijgen binnen organisaties die op grote schaal data verwerken. De functionaris mag uit de organisatie zelf komen of worden ingehuurd. In de volgende situaties is een DPO / FG verplicht:

  • verwerking bij overheidsinstanties. Rechtbanken zijn vrijgesteld omdat ze onafhankelijk moeten kunnen opereren)
  • organisaties die regelmatig en op grote schaal betrokkenen observeren. Denk aan internetbureaus die online bezoek monitoren
  • als op grote schaal bijzondere en/of strafrechtelijk persoonsgegevens worden verwerkt

Lees meer over de DPO / FG op de site van de Autoriteit Persoosngegevens

Profilering mag met toestemming

Onder de AVG / GDPR is profilering toegestaan. Echter voor het actief gebruiken van de verkregen inzichten is wel toestemming van de betrokkene nodig. Het aanpassen van verzekeringspremies op basis van postcode of  geautomatiseerd weigeren van een kredietaanvraag zonder dat betrokkenen daarvoor toestemming hebben gegeven kan niet meer. Anders wordt het wanneer profilering gebeurt met instemming van de betrokkenen personen. De toestemming moet dan wel voldoen aan de eerder genoemde eisen voor de wet AVG/ GDPR.

Silhouet van een man met vraagteken. Profileren mag volgens regels VGA / GDPR

AVG / GDPR en wetgeving rondom spam en cookies

De regels rondom het versturen van ‘elektronische communicatie’ als e-mail, SMS en Whatsapp zijn vastgelegd in de Telecomwet. Daarin zijn ook de bepalingen rondom cookies opgenomen. Deze wet staat los van de AVG / GDPR regels. Aan de de regels rondom het gebruik van e-mail / spam en cookies verandert daarom niets.

Consument macht, organisatie verantwoording

De AVG / GDPR regels geven de consument controle over zijn eigen gegevens. De verantwoordelijkheid voor het juist gebruiken en beveiligen van die gegevens komt (nog meer) bij de organisatie te liggen. Van organisaties wordt meer verwacht als het gaat om het op de juiste wijze informeren van consumenten. En het voeren van de bewijslast hierbij. Ook voor veelgebruikte toepassingen als Google Analytics en Mailchimp gelden GDPR en AVG regels. Belangrijk is deze verantwoordelijkheid serieus te nemen. En dit te laten zien door een gedegen PIA en waar nodig een DPO / FG.

Tot slot

Dit artikel is bedoeld om de belangrijkste veranderingen en aandachtspunten uit de AVG / GDPR te schetsen. Het is niet bedoeld om juridische beslissingen op te baseren. Raadpleeg voor jouw specifieke situatie altijd een expert, net zoal ik doe bij juridische kwesties. 


Over de auteur

Nick Nijhuis vergroot als marketingcoach de opbrengsten uit online marketing. Daarnaast is hij hogeschooldocent en projectleider op het gebied van digital marketing.