Gert-Peter Noordegraaf
AVG en marketing, er mag meer dan je denkt!
Bij AVG denkt ongeveer elke (online) marketeer aan steeds strengere overheidsregels waardoor je mogelijkheden enorm beperkt worden. Het lijkt soms of er helemaal niets meer mag. In de praktijk valt dat gelukkig enorm mee. Bij AVG denkt ongeveer elke (online) marketeer aan steeds strengere overheidsregels waardoor je mogelijk- heden enorm beperkt worden. Het lijkt soms of er helemaal niets meer mag. In de praktijk valt dat gelukkig enorm mee. Privacy policy specialist Gert-Peter Noordegraaf vertelde deelnemers aan dit marketingcafé online miniwebinar in heel heldere taal precies wat er wel mag en wat niet.
Top 10 vragen over privacy policy / AVG
1.Is het voldoende om toestemming te hebben om iemands gegevens te verwerken?
Het lijkt een goede manier om toestemming van een persoon te vragen als je als organisatie gegevens wilt gaan verwerken. Het is ook de eerste grondslag die je in de AVG terugvindt. In de praktijk blijkt toestemming echter een lastige grondslag te zijn om je business op te baseren. Eén van de rechten van betrokkenen is namelijk dat toestemming op ieder moment weer ingetrokken kan worden. Ook is het van belang dat, als je op basis van toestemming wilt verwerken, het voor de betrokkene compleet helder moet zijn waar toestemming voor gegeven wordt. Kortom, als je een andere rechtsgrond kunt vinden om gegevens te verwerken is dat vaak een betere en meer zekere oplossing.
2. Mag de ik nog wel iets doen met persoonsgegevens?
Het lijkt alsof de principes uit de AVG strenger zijn geworden. Maar de bepalingen in de AVG wijken niet veel af van die al waren opgenomen in de voorganger (Wet Bescherming Persoonsgegevens). De sancties op het niet naleven van de AVG zijn wel fors strenger. Dit betekent dat de Autoriteit Persoonsgegevens hogere boetes kan opleggen.
3. Moet ik altijd een verwerkersovereenkomst afsluiten?
Als een organisatie in opdracht van een verantwoordelijke persoonsgegevens verwerkt, is er een verwerkersovereenkomst nodig. Het kan ook voorkomen dat er gegevens uitgewisseld worden met een andere verantwoordelijke. Bijvoorbeeld een werkgever die gegevens uitwisselt met een pensioenfonds of het UWV. In dat soort gevallen is geen verwerkersovereenkomst nodig. Beide partijen zijn zelfstandig verwerkingsverantwoordelijk en dus beiden ook gehouden aan de bepalingen uit de AVG.
4. Controleert de Autoriteit Persoonsgegevens alleen grote bedrijven?
Nee, iedere organisatie die zich niet houdt aan de bepalingen van de AVG riskeert een boete. Het kan voorkomen dat een kleine organisatie veel bijzondere persoonsgegevens verwerkt. Er wordt dus niet zozeer gekeken naar de omvang van de organisatie maar naar welke persoonsgegevens verwerkt worden en in welke hoeveelheden.
5. Ik doe niets met de gegevens die ik heb verzameld, is de AVG dan toch voor mij van toepassing?
De AVG is van toepassing op alle verwerkingsactiviteiten, dus ook op het bezitten van gegevens. Zelfs op het doorsturen of vernietigen van gegevens. De AVG stelt dat een verwerking het volgende omvat: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens; al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Kortom, alles wat je kunt verzinnen of wilt doen met persoonsgegevens.
6. Is een privacyverklaring op mijn website verplicht?
Organisaties moeten transparant zijn over de gegevens die zij verwerken. Dit kan met een privacy verklaring op de website. Organisaties kunnen deze verplichting ook anders invullen. Denk hierbij bijvoorbeeld aan de borden rondom een winkelgebied in een stad waar gewaarschuwd wordt voor camera surveillance. De privacyverklaring op de website is wel de meest voorkomende manier om transparantie aan te tonen, mits de verklaring correct is opgesteld natuurlijk.
7. Als ik een datalek meld krijg ik toch een boete?
Als je als organisatie een datalek niet of te laat meldt riskeer je een boete. Het melden van datalekken leidt over het algemeen binnen organisaties tot aangescherpte maatregelen en wijzigingen in procedures en dit is in het belang van betrokkenen. Het melden van een datalek zal dus niet afgestraft worden. Het is overigens niet uitgesloten dat na onderzoek blijkt dat de oorzaak van het datalek verwijtbaar is en dat hiervoor wel een boete wordt opgelegd.
8. Heb ik als ZZP-er een register van verwerkingen nodig?
Organisaties met meer dan 250 medewerkers zijn verplicht een register van verwerkingen op te stellen en te onderhouden. Ook als je als organisatie op een niet-incidentele wijze persoonsgegevens verwerkt heb je de plicht om een register van verwerkingen op te stellen. Wil je voldoen aan allerlei rechten van betrokkenen, zoals bijvoorbeeld recht op gegevensoverdracht en recht op inzage, dan ontkom je niet aan de structuur van een register van verwerkingen. Omdat je anders geen idee hebt wat je met de persoonsgegevens van een betrokkene hebt gedaan.
9. De AVG is toch alleen van toepassing op digitale gegevens?
De AVG is van toepassing op de verwerking van persoonsgegevens, de vorm van de verwerking is daarbij niet relevant. Papieren dossiers (patiëntendossiers, personeelsdossiers) vallen gewoon onder de werking van de AVG.
10. De AVG is toch vooral een juridisch/IT-aspect?
Persoonsgegevens worden door de hele organisatie heen gebruikt en iedereen heeft ermee te maken of maakt er gebruik van. Het is de verantwoordelijkheid van de hele organisatie om zorgvuldig met deze persoonsgegevens om te gaan. Dat begint al bij de afdeling HR als er nieuw personeel wordt aangenomen. Maar het is eveneens van toepassing voor de inkoopafdeling die verwerkersovereenkomsten moet afsluiten en de afdeling communicatie als er sprake is van een datalek, maar is ook van belang als een medewerker persoonsgegevens per e-mail of telefonisch deelt met partijen.