Privacy wetgeving: Wat gaat er veranderen in 2018?

Vanaf 25 mei 2018 is de nieuwe privacywet General Data Protection Regulation (GDPR) van kracht in de gehele Europese Unie. Door deze wet worden consumenten beter beschermd en krijgen ze meer controle over hun eigen data.

In Nederland noemen we de wet Algemene Verordening Gegevensbescherming (AVG), deze vervangt de huidige Wet Bescherming Persoonsgegevens (WBP). Door de AVG wordt de bescherming van persoonsgegevens in alle landen van de Europese Unie op dezelfde manier geregeld. Hierdoor krijgen organisaties meer verantwoordelijkheden en dienen ze transparant te zijn over persoonsgegevens.

De belangrijkste wijziging is dat je expliciet toestemming nodig hebt om de data te mogen verwerken. De nieuwe wetgeving is voor marketeers vooral van invloed op inlogomgevingen en het versturen van e-mailcampagnes.

De belangrijkste voorwaarden op een rij:

  1. Toestemming door actieve handeling

De toestemming voor het gebruik van persoonsgegevens moet door de gebruiker zelf worden gegeven. Het is hierbij belangrijk dat de gebruiker ook daadwerkelijk een handeling moet uitvoeren om de toestemming te geven. De toestemming kan bijvoorbeeld worden gegeven door een vinkje achter een stukje tekst te plaatsen. Let wel op: het vakje moet door de gebruiker zelf aangeklikt worden, een vooraf aangeklikt vakje voldoet niet aan de voorwaarden.

  1. Uitoefenen van controle

Het is belangrijk dat de gebruikers controle op hun gegevens kunnen uitoefenen. Hierbij hebben ze de volgende rechten:

  • Het recht om hun gegevens in te zien
  • Het recht om hun gegevens te wijzigen
  • Het recht om vergeten te worden
  • Het recht op informatie over de gegevensverwerking

Als je bijvoorbeeld een e-mail verstuurt, dan moeten gebruikers via een link in de footer hun gegevens kunnen inzien, wijzigen en verwijderen.

  1. Je hebt niet overal toestemming voor nodig

De nieuwe wet betekent niet dat je altijd toestemming nodig hebt voor het verwerken van persoonsgegevens. Bij het aangaan van een verkoopovereenkomst is er een rechtmatige grondslag voor het verwerken van persoonsgegevens zonder toestemming. Zo heb je bijvoorbeeld van klanten geen expliciete toestemming nodig om hun persoonsgegevens te verwerken.

Voorbeeld Bureau Architectenregister

Voor de website van Bureau Architectenregister was het belangrijk dat architecten zich gemakkelijk konden inschrijven via de website. Het was van groot belang dat de persoonsgegevens van de architecten goed werden beschermd. De gegevens op de website worden uiteraard beschermd via een beveiligde HTTPS verbinding. Na inschrijving en het geven van toestemming kregen de ingeschreven architecten regelmatig mailtjes met interessante informatie via MailPlus. Via een inlogomgeving op de website kunnen de architecten hun gegevens inzien, wijzigen en verwijderen. Hiermee voldoet Bureau Architectenregister dus al aan de nieuwe privacy wetgeving.

Bewijs van toestemming

Zoals hierboven beschreven is het met de AVG erg belangrijk om toestemming te krijgen voor het verwerken van persoonsgegevens. Als bedrijf moet je op verzoek van de Autoriteit Persoonsgegevens minimaal het volgende kunnen aantonen:

  • Dat de gebruiker toestemming heeft gegeven
  • Aan welke organisatie of bedrijf er toestemming is gegeven
  • Waarvoor de gebruiker toestemming heeft gegeven
  • Op welke manier de gebruiker toestemming heeft gegeven (aanklikken vinkje)
  • Wanneer de gebruiker toestemming heeft gegeven

De AVG geldt vanaf 25 mei 2018 en werkt niet met terugwerkende kracht. Al je handelingen voor 25 mei 2018 vallen dus onder de oude privacyregels (WBP). Als je eerder toestemming hebt gekregen voor het verwerken van persoonsgegevens, moet je wel controleren of deze toestemming ook aan de nieuwe regels voldoet. Als de eerdere toestemming niet aan de huidige regels voldoet, dan mag je de gegevens niet langer verwerken!

Boetes

Als je de toestemming en bewijzen bij ingang van de AVG niet goed hebt geregeld, dan loop je het risico op een boete. De toezichthouder, Autoriteit Persoonsgegevens (AP), gaat vanaf mei 2018 actief controleren en waarschuwingen uitdelen. De boetes zijn niet mals en kunnen oplopen tot 20 miljoen euro of 4 procent van de totale jaaromzet van je organisatie.

Start daarom op tijd met het nemen van maatregelen en zorg dat je voldoet aan de nieuwe wetgeving.

Privacy check

Benieuwd of jouw organisatie voldoet aan de nieuwe privacy regels? Controleer via www.privacywet.nl of de persoonsgegevens op de juiste manier worden beschermd. Doe de privacy check!

Meer weten over projecten waarbij we de nieuwe privacywetgeving hebben gebruikt? Bekijk de cases met inlogomgeving van Bonusan, Vrije Academie en Architectenregister.

Heb je vragen over de nieuwe privacy wetgeving? Neem gerust contact op via 010 – 270 0333 of info@w3s.nl om de gevolgen voor jouw organisatie te bespreken.