Wat is de GDPR, AVG wetgeving en wat zijn de consequenties?

Vanaf 25 mei treedt de nieuwe Europese wet voor databescherming in, de General Data Protection Regulation (GDPR), in Nederland de Algemene verordening gegevensbescherming (AVG) genaamd. Dat betekent dat er vanaf deze datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De GDPR heeft in Online Marketing een aantal gevolgen om bij stil te staan.

De wetgeving is al gepubliceerd in 2016 het is de (controle op de) naleving van de regels welke actief in werking treedt. Dat heeft organisaties de tijd geboden om zich klaar te maken voor deze nieuwe wetgeving. Straffen op overtredingen zijn zwaar (20 miljoen euro of 4% van de jaarlijkse omzet, afhankelijk van welke van de twee de hoogste boete oplevert).

Deze wetgeving heeft consequenties voor alle bedrijven die data verzamelen en verwerken dus waarschijnlijk ook voor uw bedrijf. Als Online Marketingafdeling van onze klanten willen wij tijdig en proactief informeren over de consequenties en acteren door de benodigde aanpassingen te doen.

Wat is de GDPR?

De General Data Protection Regulation (GDPR) is sinds mei 2016 de opvolger van de meldplicht datalekken. De GDPR is een Europese algemene verordening gegevensbescherming. In essentie moet de GDRP ervoor zorgen dat bedrijven de privacy rechten van de individuele persoon/consument respecteren. Hiermee is de GDPR relevant voor alle bedrijven en organisaties die persoonlijke gegevens van inwoners van de EU verzamelen, verwerken en gebruiken.

Wat zijn de belangrijkste consequenties van de GDPR?

Middels een set aan 99 artikelen worden maatregelen en verplichtingen van technische als organisatorische aard gesteld. Onderstaande punten bevatten een compacte opsomming van de belangrijkste:

  • Nemen van passende technische en organisatorische maatregelen ter bescherming van de privacy. De GDPR legt deze verplichting zowel bij partijen welke in het bezit zijn van de data als welke de data enkel in opdracht verwerken. Dat betekent bijvoorbeeld in technische zin dat alle software die wordt gebruikt om data mee te vergaren, verwerken of op te slaan moet voldoen aan de laatste security standaarden, dat er sprake is van bewerkers overeenkomsten tussen Verantwoordelijken en Bewerkers en dat alle Policies up-to-date en beschikbaar zijn, zowel intern als extern.
  • Privacy by design en Privacy by default. Privacy by design betekent dat bij nieuwe diensten of services privacy meegenomen dient te worden bij de ontwerpkeuzes en criteria. Privacy by default betekent dat standaard de meest strikte privacy settings moeten worden toegepast wanneer er een nieuw product of service wordt geïntroduceerd. Daarnaast moet de persoonlijke data worden bewaard voor de benodigde tijd voor de dienstverlening of service, waarna deze verwijderd moet worden.
  • Om adequate inzage te verkrijgen in waar de risico`s liggen, stelt de GDPR dat deze risico`s middels een Data Protection Impact Assesment (DPIA), ook wel Privacy Impact Assesment (PIA) genoemd, in kaart moeten worden gebracht. Hierbij gaat het hoofdzakelijk om de impact op de privacy, risico`s voor de organisatie en het doel van het project/verwerking. Voortkomend uit de DPIA kunnen aanvullende maatregelen worden genomen.
  • De documentatieplicht is, ten opzichte van de huidige actieve en eerder gerelateerde privacywetgeving, de meest kenmerkende verandering. De documentatieplicht betekent dat organisaties moeten kunnen aantonen wat voor informatie zij opslaan of verwerken, van wie deze data is, waar dit wordt opgeslagen en hoe dit is beveiligd. Op dit laatste vlak gaat het primair over de technische maatregelen, echter kan dit worden aangevuld met organisatorische maatregelen.
  • De GDPR stelt dat de verwerking van persoonsgegevens met een duidelijk doel verbonden en context gebonden dient te zijn. In de praktijk betekent dit dat persoonsgegevens alleen verwerkt mogen worden als er een legitieme doelstelling achter ligt. Overmatige verwerking van persoonsgegevens is niet toegestaan. Bovendien mogen de gegevens niet zonder toestemming gebruikt worden voor de levering van andere producten of diensten.
  • Inzichtelijkheid en het recht om vergeten te worden. Natuurlijke personen hebben volgens de GDPR het recht om in te zien welke gegevens van hen elektronisch zijn vastgelegd en hieruit verwijderd te worden. Voor bedrijven betekent dit dat organisaties niet alleen middels een veilige wijze deze gegevens moeten delen, ook betekent dit dat van organisaties hun informatiehuishouding rondom persoonsgegevens duidelijk en bekend moet zijn.
  • Bij een datalek van persoonsdata dient een data controller binnen 72 uur na het ontdekken van het datalek, op specifieke wijze, een melding te maken. Daarnaast kan het zijn dat het lek verplicht aan de data objects, ook wel de personen in kwestie, moet worden gemeld. Met name wanneer het lek waarschijnlijk zal resulteren in een hoog risico op inbreuk van de vrijheidsrechten van de persoon.

Rollen van partijen binnen de GDPR

Bij het verwerken van gegevens onderscheidt de privacywetgeving verschillende rollen. De belangrijkste zijn de ‘Verantwoordelijke’ en de ‘Verwerker’ (in Nederland zegt men ‘Bewerker’). Vaak worden hiervoor ook de Engelse termen ‘Data Controller’ en ‘Data Processor’ gebruikt.

De Verantwoordelijke

De Verantwoordelijke is degene die het initiatief neemt om persoonsgegevens te (laten) verzamelen en bij te houden, met de bedoeling die op één of andere manier te verwerken. De Verantwoordelijke moet het specifieke doel vastleggen van de gegevensverwerking en aantonen dat hij daarvoor een gewettigde grond heeft. Hij moet vooraf overwegen welke persoonsgegevens hiervoor nodig zijn. De Verantwoordelijke garandeert ook de veiligheid van de verzamelde gegevens. Hij verzekert hun beschikbaarheid en zorgt dat de integriteit te allen tijde bewaard wordt (dit wil zeggen dat ze niet onterecht gewijzigd of gewist worden) en dat er geen inbreuken gepleegd worden op de vertrouwelijkheid. Een belangrijk onderdeel daarvan is dat de gegevens uitsluitend worden aangewend voor het doel waarvoor ze verzameld zijn.

De Verwerker

De rol van de Verwerker daarentegen is dat hij persoonsgegevens van een Verantwoordelijke ter beschikking krijgt en deze verwerkt volgens de instructies van de Verantwoordelijke, in functie van diens doelstelling. Deze rol kan uiteraard ook door de Verantwoordelijke zelf opgenomen worden. Als deze echter een beroep doet op een derde partij, heeft deze enkel de rol van Verwerker. Dit is een fundamenteel onderscheid, dat de basis vormt voor de wettelijke verplichtingen. Een belangrijke vaststelling is alvast dat anders dan in de vroegere privacywetgeving de GDPR ook expliciet verplichtingen oplegt aan de Verwerker. Middels een bewerkersovereenkomst wordt veelal de rolverdeling en de daarbij behorende verplichtingen vastgelegd.

De Betrokkene

Tenslotte bepaalt de wet ook een duidelijke derde rol, die van de Betrokkene (of in het Engels ‘Data Subject’). De betrokkene is de individuele persoon op wie specifieke persoonsgegevens betrekking hebben. Het is in eerste instantie de Betrokkene die door de wet beschermd wordt.  Betrokken inwoners van de EU hebben meer rechten gekregen onder de nieuwe wetgeving:

  • Recht om vergeten te worden: Een individu mag eisen dat alle persoonlijke gegevens per direct worden verwijderd door een organisatie waar de gegevens door zijn verzameld en opgeslagen.
  • Recht om bezwaar te maken: Een individu kan bewaar maken tegen het gebruik van het gebruik van zijn gegevens
  • Recht om te rectificeren: Individuen hebben het recht om incomplete data te laten aanvullen en/of incorrecte data te laten corrigeren.
  • Recht tot toegang: Individuen hebben het recht om te weten welke data van hen wordt verwerkt en hoe deze wordt verwerkt.
  • Recht van overdraagbaarheid: Individuen hebben het recht om te verzoeken dat hun data van de ene organisatie wordt overgedragen op een andere organisatie.

Om welke persoonsgegevens gaat het?

De gegevens waar het voornamelijk om gaat zijn de volgende persoonsgebonden kenmerken:

  • Namen van personen
  • Adressen van personen
  • Persoonsnummers
  • Email adressen van personen
  • IP-adressen van privépersonen
  • Gedrags-data
  • Locatie-data
  • Biometrische data (haarkleur, geslacht etc.)
  • Financiële informatie (bijv. creditcardgegevens)

Toestemmings-verplichting door betrokkenen is uitgebreid

  • Individuen die hun gegevens achterlaten moeten expliciet toestemming geven voor het vastleggen en het gebruik van hun gegevens. Hierbij moeten zij deze toestemming verlenen met inzicht in de manier en de frequentie waarop hun gegevens worden gebruikt; e.g. ”U ontvangt van ons maximaal X keer per jaar een actienieuwsbrief.”
  • Dubbele opt-in is verplicht bij alle inschrijvingen via (online) formulieren.
  • Opt-out is 100% opt-out
  • Opt-in aangevinkt presenteren mag (en mocht al lang) niet meer.
  • De contactgegevens van de organisatie(s) die de data bewerken en opslaan moeten beschikbaar zijn voor de individu.
  • De duur van de opslag van de informatie moet worden gecommuniceerd (welke zo kort mogelijk moet worden gehouden).

Jelba’s visie op de GDPR

Sinds onze oprichting besteden veel aandacht aan data-security. Installatie van alle benodigde Security patches en updates, standaard werken met SSL beveiligde websites en shops, dataopslag in Dedicated Cloudservers, Standaard Privacy statements en Disclaimers in alle sites, het werken met professionele software partners zijn allemaal voorbeelden daarvan. Door GDPR-Proof te werken stellen wij onze klanten in staat om op een correcte en veilige manier te groeien in Nederland en daarbuiten. Het voordeel van de Europese regelgeving is dat wij niet langer in andere landen met andere spelregels te maken hebben, dat maakt het voeren van Online Marketing campagnes over de grens een stuk toegankelijker. Wij zien dus niet alleen de beperkingen maar ook de kansen.

Wij hebben ervoor gekozen om het door de Autoriteit Persoonsgegevens aanbevolen 10 stappenplan te hanteren. Onderdeel van dit stappenplan is de Assessment (PIA) om vast te stellen wat de specifieke aandachtspunten zijn voor onze klanten in verband met B2B Online Marketing door Jelba.

Jelba zal als bewerker van de data in opdracht van onze klanten er alles aan doen om te voldoen aan de nieuwe GDPR wetgeving. Bewustwording is de eerste stap uit het stappenplan. Hopelijk heeft dit artikel daar al aan bijgedragen.

Heeft u vragen, aanvullingen of opmerkingen over de GDPR of over B2B online marketing ? Laat het ons weten en bel of stuur een e-mail naar collega@jelba.nl. Wij zijn u graag van dienst.

Tot slot

Het doel van al onze klanten is om meer omzet te realiseren via het internet. Wij zorgen ervoor dat zij slagen in deze missie.  Bent u een B2B bedrijf dan maken wij graag vrijblijvend uw online kansen inzichtelijk. En geven u een advies waar u nu staat ten opzichte van uw concurrenten. Klik hier om deze scan aan te vragen.

Arwen Obermeyer

Hallo, ik ben Arwen,
Nieuwsgierig geworden naar onze aanpak? Ik vertel u graag meer!