AVG/GDPR wat is het?

AVG is de afkorting voor Algemene Verordening Gegevensbescherming (in het Engels afgekort tot GDPR: General Data Protection Regulation), een nieuwe privacywet die vanaf 25 mei 2018 in werking treedt.

Deze Europese wet gaat o.a. over de verantwoordelijkheden met betrekking tot persoonsgegevens. Zoals: welke data wordt opgeslagen, waarom en hoe ga je hiermee om. De AVG stelt strengere eisen aan privacy en de beveiliging van persoonsgegevens (zowel online als offline). Vanaf 25 mei 2018 moeten alle bedrijven binnen de EU voldoen aan deze strenge nieuwe wet, maar wat gaat er dan veranderen?

Voor wie geldt de AVG/GDPR?

Deze wet gaat gelden voor elke ondernemer of organisatie (binnen de EU) die persoonsgegevens verwerkt. Ieder bedrijf heeft klanten en zelfs alleen al de naam van je klant is al een persoonsgegeven. Maar zelfs reacties op een blogartikel, worden gezien als persoonsgegevens. Enkele andere voorbeelden zijn: e-mailadressen van een mailinglist, CV’s van sollicitanten, IP-adressen of personeelsinformatie.

Gegevens voor persoonlijk gebruik, zoals: verjaardagskalender, privé contacten in je telefoon / WhatsApp, persoonlijke notities vallen hier niet onder.

De vijf belangrijkste veranderingen per 25 mei 2018

1. Vraag toestemming voor het verzamelen van persoonsgegevens

Toestemming moet expliciet gevraagd worden en mag dus niet voor ingevuld zijn. Dit zie je vaak bij webformulieren waarbij een checkbox al vooraf aangevinkt is. Ondanks dat dit al langere tijd niet toegestaan is zal het nu per 25 mei 2018 qua wetgeving worden gehandhaafd.

2. Bied de mogelijkheid voor het opheffen van deze toestemming

Een klant moet aan kunnen geven dat zijn/haar persoonsgegevens verzamelen of beheren niet meer is toegestaan. Dit zou kunnen zijn wanneer iemand van een mailinglijst verwijderd wil worden of wanneer een klant uit je administratie verwijderd wil worden (let wel op dat er op facturen een bewaarplicht van toepassing is).

3. Het is niet toegestaan om meer dan de noodzakelijke gegevens te verzamelen

Verzamel enkel de gegevens die je nodig hebt. Geef duidelijk aan wat er onder noodzakelijke persoonsgegevens valt en waarom (in welke context). Deze informatie kun je plaatsen in de privacy- of cookieverklaring op je website.

4. Duidelijk vastleggen welke persoonsgegevens er worden verzameld

Naast het feit dat je enkel noodzakelijke gegevens verzameld moet je ook precies aan kunnen geven welke gegevens je verzameld. In sommige gevallen zal er aangetoond moeten kunnen worden dat per onderdeel deze toestemming gevraagd en verkregen is. Het is dus niet toegestaan om een “ik ga met alles-akkoord” knop te gebruiken.

5. Meer en betere privacy-rechten

Onder de AVG gelden de volgende rechten:

  • Recht op inzage
  • Recht op rectificatie en aanvulling
  • Recht op vergetelheid
  • Recht op dataportabiliteit
  • Recht op beperking van de verwerking
  • Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
  • Recht van bezwaar

Tot slot over AVG

Als je niet zeker bent van je zaak, laat je dan goed adviseren door een jurist. Mocht het nodig zijn dan kunnen wij de nodige aanpassingen in je website doorvoeren. Denk bijvoorbeeld aan het implementeren van een cookiemelding (indien je daar nog niet over beschikt), het plaatsen van een nieuwe privacyverklaring of het beveiligen van je contactformulieren.

Autoriteit Persoonsgegevens

Meer informatie over de AVG tref je aan op de website van de Autoriteit Persoonsgegevens – AVG – nieuwe Europese privacywetgeving of in dit artikel op ICTRecht.nl.