Nieuws

Dit moet je weten over de nieuwe Europese privacyregels

0

In het voorjaar van 2016 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. De wat? De nieuwe Europese privacyregels, zeg maar. Over een jaar wordt de regeling van kracht en moeten wij ons daarop aangepast hebben. Privacyverklaringen aanpassen, nog beter en meer om toestemming vragen. En misschien heb je wel een privacy-officer nodig. Aan de slag dus! Je hebt nog een jaar om dit te regelen.

Koude acquisitie mag niet meer!

Koud bellen of mailen zou vanaf 2018 niet meer mogen. Zelfs niet naar bedrijven. Het idee is dat dit nu wel zou mogen. Niets is echter minder waar. Ongevraagd commerciële e-mails versturen mag (sinds 2009) ook niet naar bedrijven. Daar is dus toestemming voor nodig. Bijvoorbeeld een specifiek e-mailadres of een tekst op de website bij dat e-mailadres waaruit blijkt dat die gegevens gebruikt mogen worden voor commerciële e-mails.

Voor telefonie (telemarketing, koud bellen) bestaat er een zogenaamd opt-out-regeling (het bel-me-niet-register) voor natuurlijke personen, maar niet voor bedrijven. Tot nu toe was niet iedereen het erover eens of gegevens die van een medewerker waren, zoals het persoonlijke telefoonnummer op kantoor en het persoonlijke e-mailadres, zoals voornaam.achternaam@bedrijfsnaam.nl onder het bedrijf vielen of toch als persoonsgegevens behandeld moesten worden. Vanaf 2018 zullen ook deze gegevens als persoonsgegevens behandeld worden en hebben deze medewerkers recht op een opt-out.

Het bedrijf bellen mag nog wel

Het algemene telefoonnummer van een bedrijf is geen persoonsgegevens. Dat mag je dus altijd bellen. Een persoon bij een bedrijf bellen, als die gegevens toch al ergens openbaar te vinden waren, zoals op de website, zou dus ook mogen. Alleen hebben ze wel een opt-out-recht. Het probleem zit dus veel meer in de mooie lijsten met gegevens die gemaakt en verkocht worden. Bovendien moeten die lijsten nu gecontroleerd worden op een mogelijk zakelijk bel-me-niet-register.

Het algemene telefoonnummer van een bedrijf is geen persoonsgegevens. Dat mag je dus altijd bellen.

Nog uitgebreidere privacyverklaringen

De nieuwe regeling maakt het informeren over privacy nog belangrijker. Op bijna elke website kunnen persoonsgegevens achtergelaten worden. Denk alleen al aan het reageren onder een artikel. Maar vooral via een contactformulier en inschrijvingsformulier voor de nieuwsbrief worden persoonsgegevens verkregen en opgeslagen. Elke website heeft daarom een privacyverklaring nodig. Ook bijna elke privacyverklaring (ja, ook die van mijn onderneming) moet aangepast worden. Vanaf 2018 moet de volgende informatie in de privacyverklaring terug te vinden zijn.

  • Identiteit en contactgegevens van de verantwoordelijke die de gegevens verwerkt
  • De doelen waarvoor de gegevens worden verzameld
  • Soms moet ook het ‘gerechtvaardigd belang’ van de verwerking gemeld worden, maar niet als gegevens met toestemming zijn verkregen
  • Als er nog anderen zijn die de gegevens zullen ontvangen, vermelden wie (welke bedrijven) dat zijn
  • Hoe lang de gegevens bewaard gaan worden
  • Dat er een recht bestaat op inzage, rectificatie of wassing van de persoonsgegevens, en het recht op de overdraagbaarheid van de gegevens
  • Hoe er bezwaar gemaakt kan worden tegen de verwerking van de persoonsgegevens
  • Dat er een recht bestaat om een klacht in te dienen bij de Autoriteit Persoonsgegevens
  • Of de verstrekking van persoonsgegevens een wettelijke-, een contractuele verplicht of een noodzakelijke voorwaarde is om een overeenkomst te sluiten
  • Als daar sprake van is: vermelding van geautomatiseerde besluitvorming, zoals door profilering

Deze informatie moet je vervolgens wel nog beknopt overbrengen. Hoe dat moet als de lijst met informatie al zo lang is, dat weet niemand. Nou ja, het gaat er natuurlijk om dat je geen overdreven aantal pagina’s vol gaat tikken. Houd zinnen kort en maak teksten niet langer dan nodig.

Deze informatie moet je vervolgens wel nog beknopt overbrengen. Hoe dat moet als de lijst met informatie al zo lang is, dat weet niemand.

Privacyverklaring liever niet door een jurist laten schrijven

De privacyverklaring moet overigens ook in duidelijke en eenvoudige taal geschreven zijn. Laten we zeggen, op B1-niveau. Hoeveel juristen ken jij die daarbij in de buurt zouden komen? Precies, dat bedoel ik. Laat een privacyverklaring dus alleen door een jurist schrijven, als die ook in duidelijke en eenvoudige taal kan schrijven. Anders is het waarschijnlijk verstandiger om iemand van communicatie of marketing in te schakelen, die persoon de privacyverklaring te laten schrijven om het vervolgens te laten controleren door een jurist. Het moet in elk geval wel schriftelijk verstrekt worden. Een filmpje zal dus niet (altijd) voldoende zijn.

Data Protection Officer nodig bij gebruik van analytics

In sommige situaties zullen bedrijven vanaf 2018 een onafhankelijke Data Protection Officer (DPO) nodig hebben. Het moet een onafhankelijk en deskundig persoon zijn die toeziet op de omgang met persoonsgegevens binnen de organisatie. Dat mag een medewerker zijn of een externe deskundige. Gelukkig heeft niet elk bedrijf het nodig. Maar als er sprake is van ‘stelselmatige observatie op grote schaal’ wel.

Daarvan is bijvoorbeeld sprake als een bedrijf (voor klanten) websitebezoekers in de gaten houdt door middel van analytics. Dat is dus nog niet het geval als je alleen maar software gebruikt om geanonimiseerd wat te leren over bezoekers. Voor het gebruik van Google Analytics heb je dus nog geen DPO nodig. Ook als je bijzondere gegevens verwerkt, zoals over ras, seksualiteit, gezondheid of levensovertuiging, moet je een DPO aanstellen. Let op dat een ras ook af te leiden is uit een pasfoto.

Overigens moet de AVG nog in Nederlandse wetgeving worden omgezet en daarom zou het zo kunnen zijn dat Nederland nog andere criteria gaat hanteren op basis waarvan een DPO aangesteld moet worden. Die ruimte biedt de verordening, maar het is nog even afwachten of Nederland die ook gaat gebruiken.

Voorbereiden op 2018

Natuurlijk is dit nog lang niet zo en kan het van je organisatie afhangen of er nog meer veranderd moet worden. Zo moet toestemming voor het verzamelen van gegevens specifieker zijn en mag het niet meer gekoppeld zijn aan iets anders. Dus niet meer ‘doe mee aan deze win-actie en schrijf je in voor de nieuwsbrief’. Voor deze twee zaken kan niet in één keer tegelijk toestemming gegeven worden. Met twee aparte vinkjes zou dat wel opgelost kunnen worden. Zorg bovendien dat je kunt bewijzen dat je toestemming hebt gekregen. Ook moet je vastleggen hoe je persoonsgegevens verwerkt en altijd blijven monitoren of het niet op een minder privacygevoelige wijze zou kunnen.

Wat merken particulieren van de nieuwe regels?

Heel erg veel zal er voor ons als ‘betrokkenen’ niet veranderen. We moeten misschien hier en daar eens een extra hokje aanvinken, maar zo irritant als de huidige cookieregels zal het nooit worden. De privacyverklaringen worden dus informatiever en het laten verwijderen van gegevens wordt nog makkelijker. Maar ja, bijna niemand las die verklaringen en ook weinig mensen lieten gegevens verwijderen. Dus eigenlijk merken we van die wijziging bijna niets.

Overigens komt er ook nieuwe regelgeving aan die zal zorgen dat we minder last zullen krijgen van die cookiemuren.

Afbeeldingen met dank aan 123RF.