De impact van de nieuwe privacywetgeving

In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) in de EU ingevoerd. Bij deze wet worden hoge boetes in het vooruitzicht gesteld aan bedrijven die niet zorgvuldig omgaan met onze data.

Uit een onderzoek dat Citrix heeft laten uitvoeren onder 250 Nederlandse IT Executives en cybersecurity specialisten blijkt dat voor de meeste organisaties het verzamelen van data de gewoonste zaak van de wereld is. Meer dan een kwart bewaart dagelijks de persoonlijke gegevens van meer dan 1.000 personen.

Voor wie geldt de AVG?

De nieuwe AVG (ook wel bekend als GDPR, General Data Protection Regulation) is van toepassing op alle organisaties die persoonsgegevens verwerken en binnen de Europese Unie gevestigd zijn. Maar ook organisaties die zich buiten de Europese grenzen bevinden en zich richten op de Europese markt of gegevens van Europese burgers verwerken, moeten zich aan de nieuwe verordening houden.

Wat valt er onder persoonsgegevens?

Persoonsgegevens bestaan uit de informatie waarmee je iemand hebt geïdentificeerd of waarmee je een persoon kunt identificeren. Wanneer je aan de hand van bepaalde gegevens personen niet direct kunt identificeren, maar ze wel aan kunt wijzen in een groep, gaat het niet per definitie om persoonsgegevens.

Als webwinkel heb je al gauw met persoonsgegevens van klanten en niet-klanten te maken. Denk maar aan het verzamelen van de naam, het telefoonnummer en het e-mailadres van je klanten. Daarnaast zijn IP-adres of locatiegegevens die je kunt uitlezen wanneer een consument jouw webshop via zijn smartphone bezoekt ook persoonsgegevens.

Het verwerken van persoonsgegevens en de bescherming van privacy slaan niet alleen op het doorverkopen van privacygevoelige informatie aan derde partijen; ook het zelf verzamelen, inzien, opslaan of zelfs vernietigen van persoonsgegevens vallen hieronder. De AVG geldt dus ook voor jou als je geen persoonsgegevens doorverkoopt, maar slechts NAW-gegevens verzamelt om je klanten beter van dienst te zijn.

Wat mag nog wel?

Je mag op basis van toestemming van de gebruiker, vitale belangen, een wettelijke verplichting, een overeenkomst, een algemeen belang of een gerechtvaardigd belang nog persoonsgegevens verzamelen. Je bent hierbij verplicht om een register met alle verwerkingen bij te houden, een gegevensbeschermingsbeleid te hanteren en een (digitale) beveiliging te hebben. Betrokkenen hebben ten allen tijden het recht om hun gegevens in te zien en/of te wijzigen, om vergeten te worden, om gegevens over te dragen en om informatie te verkrijgen. 

Bron: Emerce.nl, Autoriteitpersoonsgegevens.nl, Thuiswinkel.org