Privacywetgeving 2018 Alles over GDPR/AVG

Wat is GDPR? En wie moet zich ermee bezighouden?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Het staat ook wel bekend onder de Engelse afkorting GDPR (General Data Protection Regulation). Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie. De AVG / GDPR zorgt o.a. voor de versterking en uitbreiding van onze privacyrechten, strenger toezicht op het verwerken van persoonsgegevens én voor meer verantwoordelijkheden bij organisaties - van ZZP'ers tot aan grote bedrijven, verenigingen en stichtingen. Zorg dat je voldoet aan deze wetgeving en voorkom een fikse boete.

dagen
uren
minuten
seconden

totdat de GDPR/AVG in werking treedt

Webinar Ben jij klaar voor GDPR?

Leer in 1,5 uur de spelregels van de nieuwe wetgeving uit en wat de gevolgen zijn voor jouw bedrijf. Je leert waar je op moet letten bij activiteiten als e-mail- en remarketing en krijgt inzichten in wat de mogelijke consequenties zijn van het niet-compliant zijn met GDPR.

Meer informatie over webinar Je ontvangt de fragmenten uit het webinar.

Over Charlotte Meindersma

Jurist & GDPR-expert

Charlotte is een eigenzinnige en eigentijdse informatierecht-juriste. Ze wordt ook wel de social media en marketingjurist van Nederland genoemd.

Wat zijn de (nieuwe) rechten van de betrokkenen?

Toestemming intrekken

Bedrijven en organisaties moeten dus kunnen bewijzen dat ze (geldige) toestemming hebben gekregen voor het verwerken van persoonsgegevens. Maar deze toestemming is niet voor in de eeuwigheid: mensen moeten die toestemming kunnen intrekken. En wel op net zo’n makkelijke manier als ze hun toestemming hebben gegeven.

Recht op vergetelheid

In de situatie voor 25 mei 2018 hebben mensen het recht om hun persoonsgegevens te laten verwijderen. Dit recht wordt uitgebreid: mensen kunnen straks ook eisen dat je deze verwijdering doorgeeft aan alle andere organisaties die de persoonsgegevens van je hebben ontvangen.

Recht op dataportabiliteit

Mensen hebben ook het recht dat je als organisatie hun persoonsgegevens in een standaardformaat aanlevert, of hun persoonsgegevens zelfs doorgeeft aan een leverancier die dezelfde diensten biedt. Autoriteit Persoonsgegevens geeft hierbij het voorbeeld van een sociaal netwerk, waarbij klanten kunnen eisen dat hun gegevens bij uitschrijving worden doorgestuurd naar een concurrerend netwerk.

Recht op inzage

Mensen mogen organisaties vragen of zij persoonsgegevens van hen hebben vastgelegd, en zo ja: welke. Als organisatie moet je dan laten weten om welke gegevens het zijn, waar ze voor gebruikt worden, welke derde partij de gegevens (eventueel) nog meer heeft, en wat de herkomst is van deze gegevens.

Recht om te wijzigen

Mensen hebben het recht om de gegevens die je van hen verwerkt, te wijzigen en aan te vullen. Ook hebben ze recht om jou minder gegevens te laten verwerken.

De 6 grondslagen waarop je persoonsgegevens mag verzamelen

  1. Toestemming van de gebruiker

  2. Vitale belangen

  3. Wettelijke verplichting

  4. Noodzakelijk voor de uitvoering van een overeenkomst

  5. Algemeen belang

  6. Gerechtvaardigd belang

Wat moet je als bedrijf documenteren?

Je moet een paar dingen verplicht doen:

  • Een register van verwerkingsactiviteiten bijhouden (minder dan 250 werknemers? Dan wel als je risicovolle gegevens verwerkt, niet incidenteel gegevens verwerkt, of bijzondere persoonsgegevens verwerkt)
  • Verwerk je gegevens met een hoog privacyrisico? Dan moet je een data protection impact assessment (DPIA) uitvoeren. In het Nederlands ook wel een gegevensbeschermingseffectbeoordeling – een ‘instrument’ om van tevoren de privacyrisico’s van deze gegevensverwerking inzichtelijk te maken (en actie te ondernemen)
  • Een overzicht van datalekken die zijn ontstaan.
  • Je moet kunnen aantonen dat iemand toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
  • Is het onduidelijk of je een functionaris voor gegevensbescherming moet aanstellen, dan moet je kunnen onderbouwen waarom je er wel of niet voor hebt gekozen. Deze functionaris houdt toezicht op de toepassing en de naleving van de GDPR/AVG. Overheidsinstanties en publieke organisaties zijn sowieso verplicht om een FG aan te stellen. Andere organisaties: als je op grote schaal individuen volgt en of op grote schaal bijzondere persoonsgegevens verwerkt, en dit tot je kernactiviteit behoort. Voorbeelden vind je hier.

Autoriteit Persoonsgegevens noemt ook de volgende maatregelen, waarmee je extra kunt aantonen dat je aan de eisen voldoet: je aansluiten bij een gedragscode, specifieke certificaten halen, een ICT-beveiligingsbeleid voeren of in een jaarverslag of privacy-jaarverslag verantwoording afleggen over de verwerking van persoonsgegevens.

Let ook op je cookiemelding!

Wat zegt de AVG over cookies? Dat is een beetje dubbel. Eigenlijk vallen alleen cookies die persoonsgegevens verwerken onder de privacywet. Maar het punt is dat je als website-eigenaar nooit weet welke cookies van derde partijen gegevens verwerken. Daarom vallen je cookies in de praktijk dus wel degelijk onder de GDPR.

Het belangrijkste uitgangspunt is dat je als bezoeker per apart verwerkingsdoel toestemming moeten kunnen geven. Zoals je in onze eigen cookiebanner kunt zien, hebben we 4 verwerkingsdoelen:

  • Noodzakelijke cookies (daar hoeven bezoekers geen toestemming voor te geven)
  • Voorkeuren-cookies (voor taal- en cookievoorkeuren)
  • Statistieken-cookies
  • Marketing-cookies

Een cookiewall is dus niet GDPR-compliant, omdat je dan niet per type cookie kunt aangeven of je deze wel of niet accepteert. En als website plaats je al snel meer cookies dan je verwacht. Embed je weleens video’s van YouTube? Cookies. Opvallend voorbeeld uit een Frankwatching-artikel: een embed van New York Times plaatste al 62 cookies. Met onze cookiemanager van CookieInfo hebben we ook meteen een cookiescanner, die elke avond de hele site (13.000 pagina’s!) inventariseert. Zo blijven we scherp!


Frankwatching besteedt zorgvuldige aandacht bij het vervaardigen, samenstellen en verspreiden van informatie, maar kan op geen enkele manier instaan voor de juistheid of volledigheid hiervan. Frankwatching aanvaardt dan ook geen enkele verantwoordelijkheid voor schade op welke manier dan ook ontstaan door gebruik, onvolledigheid of onjuistheid van de aangeboden informatie op deze pagina.