5 Aankomende veranderingen in de privacywet die het werk van marketeers gaan veranderen

Vorige week donderdag 1 december gaf Thuiswinkel.org een webinar over veranderingen in de nieuwe privacywet. In april schreven we al eerder over deze toekomstige wetgeving en inmiddels is er iets meer over bekend. Onder andere dat boetes voor het onzorgvuldig omgaan met de wet kunnen oplopen tot wel 20 miljoen euro. Lees dus snel wat de wet precies inhoudt en hoe jij jouw organisatie privacywet-proof maakt voor 25 mei 2018.

Algemene Verordening Gegevensbescherming (AVG): van richtlijn naar wetgeving

Vooralsnog is privacy een richtlijn binnen de Europese Unie, wat ruimte overlaat aan de lidstaten om hun wetgeving aan te passen naar eigen lokale belangen. Dat verandert in 2018. Vanaf dan verandert de richtlijn namelijk in een verordening, oftewel een Europese wetgeving. De officiële naam van de toekomstige privacywet is ‘Algemene Verordening Gegevensbescherming’. Een Europese verordening houdt in dat de wet binnen de EU op dezelfde wijze wordt toegepast.

De gevolgen van de nieuwe wetgeving

Het is belangrijk voor organisaties om te weten hoe zij rekening kunnen houden met deze wet. Zo is het belangrijk om te weten met welke punten je rekening moet houden als je persoonsgegevens verwerkt en hoe je rechtmatig persoonsgegevens verzamelt. Onder persoonsgegevens verstaan we alle gegevens die te herleiden zijn naar een persoon. Dat kunnen namen, e-mailadressen, klantnummers en adresgegevens etc. zijn.

5 Veranderingen in de privacywet

Hoewel er inmiddels bekend is wat de gevolgen van de wetgeving worden, is dit juridische taal die voor marketeers vaak moeilijk te begrijpen is. Ondanks dat we geen juristen zijn, is het echter toch belangrijk om de impact van de AVG op je organisatie te beseffen. Daarom hebben we de 5 belangrijkste veranderingen in de privacywet voor jouw organisatie in begrijpelijke taal geformuleerd.

1. Verantwoordingsplicht

Jouw bedrijf heeft de plicht om ten alle tijden te kunnen laten zien dat je ‘behoorlijk en zorgvuldig’ bent om gegaan met de gegevens van je klanten. Onder behoorlijke en zorgvuldige verwerking wordt verstaan dat je persoonsgegevens verwerkt voor bepaalde uitdrukkelijke, omschreven en gerechtvaardigde doeleinden. De toezichthouder Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) kan vragen om te laten zien wat je precies hebt gedaan. Zorg dus altijd voor documentatie van veilige en rechtmatige verwerking van persoonsgegevens.

2. Privacy Impact Assesment (PIA)

In de huidige Wet Bescherming Persoonsgegevens ben je verplicht te melden als je persoonsgegevens verwerkt. Dat is in de nieuwe wet geen vereiste meer, tenzij jouw organisatie:

  • Op grote schaal bijzonder gevoelige persoonsgegevens verwerkt. Dit zijn bijvoorbeeld gegevens op het gebied van levensovertuiging of strafrechtelijke gegevens
  • Persoonsgegevens systematisch verwerkt, zoals bij automatische beslissingen nemen op basis van klantgedrag
  • Vermoedt dat verwerking van de persoonsgegevens een grote invloed heeft op de betrokkenen. Denk bijvoorbeeld aan het verwerken van medische gegevens

Als een van deze bovenstaande punten het geval is, is het noodzakelijk een Privacy Impact Assessment (PIA) te doen. Wanneer uit het Assesment blijkt dat je gegevens inderdaad risicovol zijn, moet je dat melden bij de Autoriteit Persoonsgegevens. Zij kunnen met je meedenken advies geven over hoe je veilig met de persoonsgegevens omgaat. Op de website van Autoriteit Persoonsgegevenskun je mee lezen over het PIA.

3. Functionaris voor gegevensbescherming (FG)

Een Functionaris voor gegevensbescherming beschermt persoonsgegevens. Je bent verplicht een FG aan te nemen wanneer jouw organisatie:

  • Een overheidsinstantie is
  • Op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is van je organisatie. Bijvoorbeeld de gezondheidsgegevens van een Fitbit horloge doorspelen naar zorgverzekeraars
  • Op grote schaal mensen volgt en dit een kernactiviteit is van je organisatie, zoals bij profiling

FG’s kunnen ook vrijwillig worden aangesteld. Hiervoor gelden dezelfde plichten als voor de verplichte FG’s. Je kunt als bedrijven ook een gezamenlijke FG aannemen.

4. Boetes gaan omhoog

De toezichthouder Autoriteit Persoonsgegevens kan boetes opleggen voor bedrijven die zich niet aan de verordening houden. Boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van voorgaand. De AP kan ook bestuursdwang uitoefenen, dus bijvoorbeeld alle data te delen met hun delen of de data vernietigen. De toezichthouder kan bedrijven ook een dwangsom opleggen. Dit is een bedrag voor iedere dag dat de data niet wordt verwijderd, bovenop de boete.

5. Meldplicht datalekken/hacken

In Nederland was dit al verplicht, maar nu moet je binnen de hele EU datalekken en hacken melden bij de Autoriteit Persoonsgegevens. Dit moet binnen 24 uur na de lek gemeld worden. Datalekken kun je hier melden.

4 rechten van je klant

In de nieuwe privacywet hebben consumenten meer en sterkere rechten. Dit zijn vier rechten van je klant waar jij als organisatie rekening mee moet houden:

  1. Transparantie: je klant mag altijd inzage aanvragen in zijn of haar persoonsgegevens waarover jij beschikt. Er moet ook mogelijkheid zijn tot correctie of verwijderen van deze gegevens. Informeer je klant helder over de betreffende verwerking. Bij een opt-in moet je als organisatie de klant duidelijk attenderen op deze mogelijkheid. Wanneer je persoonsgegevens van derden krijgt dien je zo snel mogelijk (maximaal binnen een maand) de desbetreffende persoon te melden dat je zijn persoonsgegevens aan het verwerken bent.
  2. Recht om vergeten te worden: klanten hebben het recht hebben om hun gegevens te laten verwijderen. Ook hier moeten je klanten bekend mee zijn. Dit geldt overigens niet voor persoonsgegevens die je nodig hebt voor bijvoorbeeld facturen voor je boekhouding.
  3. Recht om zich te verzetten tegen direct marketing en profiling. Profiling is elke vorm van geautomatiseerde verwerking van persoonsgegevens zoals voorkeuren en het voorspellen van gedrag. Hierdoor kan een webshop bijvoorbeeld klantprofielen creëren en op basis daarvan een persoonlijk aanbod bieden. Direct marketing en profiling wordt gezien als gerechtvaardigd belang van organisaties maar klanten hebben het recht om zich hiertegen te verzetten. Als organisatie moet je zorgen dat het mogelijk is om dit te uit te schakelen.
  4. Recht om zich tegen ‘automatische besluitvorming’ te verzetten. Automatische besluitvorming zijn automatisch genomen beslissingen met grote gevolgen. Denk bijvoorbeeld aan de Belastingdienst die bepaalde toeslagen wel of niet uitkeert op basis van verkregen inkomensgegevens. Consumenten hebben het recht om uitleg te krijgen over deze beslissingen van een natuurlijk persoon in plaats van een computer. Organisaties die gebruik maken van automatische besluitvormingen moeten dit vooraf goed hebben geregeld in een overeenkomst of toestemming hebben gekregen van de betrokkene.

Meer informatie

Het wordt steeds duidelijker wat de gevolgen zijn van de AVG. De Autoriteit Persoonsgegevens heeft aangegeven binnenkort met meer documentatie over toepassingen in de AVG te komen. Houd ook de website van DDMA en Autoriteit Persoonsgegevens in de gaten. Zij delen ook relevantie informatie over de AVG. Wanneer er meer nieuws is, delen we dat uiteraard met je!