AVG. Wat is dat?

AVG. Wat is dat?De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die op 25 mei 2018 is ingegaan. Privacyrechten van klanten of gebruikers worden ermee versterkt en uitgebreid. De Europese Unie kent hiermee één privacywet, waardoor de huidige Wet Bescherming Persoonsgegevens (WBP) is komen te vervallen. De AVG staat internationaal bekend als General Data Protection Regulation (GDPR).Wat houdt de wet in, en wat zijn de mogelijke gevolgen?
Het doel van deze nieuwe wet voor gegevensbescherming is de klant de touwtjes in handen te geven. Omdat het aan de bedrijven en organisaties is om te voldoen aan deze wet, dienen bedrijven zelf actie te ondernemen om de klanten en bezoekers aan websites juist en volledig te informeren.
Daar is de AVG Privacy Verklaring voor, want daar kan je als bedrijf voldoen aan de eerste vereisten van de AVG:
* welke persoonsgegevens worden door u verwerkt
* waarom worden die persoonsgegevens door u verwerkt
* met wie deelt u die persoonsgegevens
* aangeven welke rechten betrokkenen hebben om de gegevsn in te zien, te wijzigen enz.
Het is dus zaak dat u in uw bedrijf in kaart brengt wel persoonsgegevens u waarvoor verwerkt en wordt het zaak dat u alleen datgene van uw relatie vraagt en bewaart dat u echt nodig heeft. Vraagt u bijvoorbeeld een geboortedatum op een bestelformulier, dan dient u duidelijk te formuleren waarom u dat wilt weten.

Burgers krijgen door de AVG dus meer inspraak in wat er met de verwerkte data gebeurt:
*Burgers hebben straks het recht op inzage in de persoonsgegevens die bedrijven over hen hebben opgeslagen, en mogen eisen die data zelf digitaal te ontvangen. Een voorbeeld: een supermarkt houdt met een klantenkaart bij wat de klant waar en wanneer heeft gekocht, en doet persoonlijke aanbiedingen.
Als de klant daar om vraagt, moet de supermarkt alle verzamelde data over de klant laten zien. Hetzelfde geldt voor bijvoorbeeld sociale media zoals Facebook.
*Burgers hebben bij alle bedrijven een 'recht om vergeten te worden'. Als zij niet willen dat bijvoorbeeld negatieve of beschamende informatie op een sociaal netwerk terug te vinden is, kunnen zij verzoeken die data te verwijderen. Een bedrijf hoeft niet altijd aan die eis te voldoen: zo mag een nieuwssite bijvoorbeeld een negatief verhaal over iemand met naam en toenaam brengen, zolang dat bericht maar klopt. Foto's en berichten die door minderjarigen zijn geplaatst, moeten op verzoek altijd worden verwijderd.
*Bedrijven moeten straks uiterlijk binnen één maand op dataverzoeken van klanten reageren. Bedrijven moeten het klanten makkelijk maken om dataverzoeken te doen.

Nog een paar voorbeelden van de veranderingen:
* Van bedrijven wordt verwacht dat zij data op een behoorlijke manier beveiligen, en bij een datalek bestaat er een meldplicht. In het verleden werden datalekken met persoonsgegevens soms niet gemeld, bijvoorbeeld omdat bedrijven bang waren voor de slechte publiciteit door zo’n melding.
* Bedrijven moeten straks duidelijk toestemming vragen voor het gebruik van gegevens, en helder en begrijpelijk uitleggen waar ze die gegevens voor gaan gebruiken, wie ze te zien krijgt, waar de gegevens bewaard worden en hoelang. Dat mag niet meer worden weggemoffeld in kleine lettertjes of paginalange gebruiksvoorwaarden. Bedrijven moeten beknopt, transparant en in eenvoudige taal uitleggen waar ze data voor nodig hebben.
* Inschrijfformulieren mogen niet meer met standaard aangevinkte hokjes worden aangeboden, bijvoorbeeld het hokje 'Ja ik wil op de hoogte gehouden worden van nieuwe producten'. Dat 'trucje' gebruikten bedrijven jarenlang om reclame naar klanten te sturen, die daar nooit om hebben gevraagd. Nadrukkelijke toestemming van de gebruiker is onder de nieuwe wet vereist.
* Toestemming is in sommige gevallen ook nodig om leden van bestaande nieuwsbrieven te blijven e-mailen. Sommige bedrijven hebben die nadrukkelijke toestemming al gevraagd, en kunnen klanten blijven maken. Maar andere bedrijven zullen burgers nog nadrukkelijk toestemming moeten vragen om ook na 25 mei te blijven mailen, als zij niet kunnen bewijzen dat burgers al nadrukkelijk toestemming hebben gegeven voor het gebruik van hun adres. Die bedrijven vragen hun klanten bijvoorbeeld in mailtjes of zij hen mogen blijven mailen. Doet de ontvanger niets, dan moet zijn adres automatisch uit de mailinglijst verwijderd worden.
* Bepaalde gegevens mogen standaard niet meer gevraagd of verwerkt worden. Het gaat dan om zaken als ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, biometrische en medische gegevens en seksueel gedrag of seksuele geaardheid. De gegevens mogen wel worden verwerkt als de gebruiker die zelf openbaar maakt: Instagram hoeft bijvoorbeeld geen foto's te verwijderen waarop mensen hun religie of seksuele geaardheid openbaar maken.

Zo heeft de AVG impact in de gegevensverwerking van bedrijven varierend van eenmanszaken tot multionationals, waarbij in sommige gevallen een DPIA (Data Protection Impact Assessment) zal moeten worden opgesteld. Bijvoorbeeld als uw organisatie personen stelselmatig beoordeelt en daarom besluiten neemt waaraan rechtsgevolgen zijn verbonden of als u op grote schaal bijzondere persoonsgegevens (zoals bijv. ras, godsdienst, seksuele leven, politieke opvatting, gezondheid) van mensen verwerkt of volgt in openbare rukmtes d.m.v. cameratoezicht.
Zoals u begrijpt, gaat het in dergelijke gevallen allemaal een stukje verder dan een Privacy Verklaring opstellen. Bij dergelijke bedrijven wordt het zaak dat een FG (Functionaris Gegevensbescherming, ook wel Privacy Officer) wordt aangesteld met speciale bevoegdheden.
Indien u een persoonlijk advies op maat wenst, neem dan contact op via ons contactformulier.