De AVG (GDPR): wat verandert en wat betekent dit voor jouw organisatie? | BrixCRM

De AVG (GDPR): wat verandert en wat betekent dit voor jouw organisatie?

Per 25 mei 2018 gaat de AVG (GDPR) van kracht. Wat gaat met deze nieuwe Europese privacy wetgeving veranderen, wat zijn de feiten (maar ook de fabels) en wat betekent dit voor jouw organisatie?

Lees meer

Op de werkvloer is het al enige tijd onderwerp van gesprek: de Algemene Verordening Gegevensbescherming (AVG) of in het Engels: General Data Protection Regulation (GDPR). Per 25 mei 2018 is deze nieuwe Europese privacy wetgeving van kracht, waarmee de Wet bescherming persoonsgegevens (Wbp) komt te vervallen. Wat gaat veranderen, wat zijn de feiten (maar ook de fabels) en wat betekent dit voor jouw organisatie? In deze blog een toelichting.

AVG / GDPR versus WBP: wat verandert er?

De invoering van de AVG zorgt ervoor dat organisaties die persoonsgegevens verwerken te maken krijgen met meer verplichtingen. Er is overigens wel sprake van een groot overlap (+/- 60%) tussen de bestaande Wbp en nieuwe AVG wetgeving. Wanneer jouw organisatie al conform de Wbp handelt, ben je dus al goed op weg. Ik had deze blog echter natuurlijk niet geschreven als er niet ook een aantal belangrijke verschillen bestaat:

Ruimere definitie van persoonsgegevens

De definitie van persoonsgegevens die we nu al kennen wordt met de AVG scherper gesteld. Alle informatie over een geïdentificeerde of identificeerbaar natuurlijke persoon wordt in de nieuwe wet beschouwd als persoonsgegeven. Onder ‘identificeerbaar natuurlijke persoon’ wordt iemand verstaan die direct of indirect kan worden geïdentificeerd (bijv. aan de hand van een identificatienummer of locatiegegevens). Dit betekent dat wanneer je bijvoorbeeld het gedrag van je websitebezoeker bijhoudt op basis van IP-adres, het IP-adres ook geldt als persoonsgegeven.

Meer nadruk op verantwoordelijkheid

Een groot verschil zit hem in de zogenoemde ‘accountability’, die expliciet bij de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens komt te liggen. De definitie van beide begrippen luidt als volgt:

  • Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
  • Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

In vergelijking met de Wbp komt hiermee meer nadruk te liggen op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wetgeving houden. Je moet dus precies weten en vastleggen wat er met persoonsgegevens binnen jouw organisatie gebeurt: hoelang sla je ze op, voor welke doeleinden en op welke locatie? Daarbij moet je met documenten kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Ook de juistheid van gegevens is van belang: de data die je bewaart moet up-to-date worden gehouden. Uiteraard is dit laatste punt in sommige branches (bijv. de gezondheidszorg) een meer kritiek punt dan andere branches.

Toestemming voor verwerking persoonsgegevens

De AVG zorgt ervoor dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden hiervoor versterkt en uitgebreid.

Zo zijn de regels met betrekking tot het verkrijgen van toestemming aangescherpt. Als organisatie moet je aan bepaalde voorwaarden voldoen om geldige toestemming van iemand te krijgen voor de verwerking van zijn of haar persoonsgegevens:

  • Je moet kunnen bewijzen dat je geldige toestemming hebt gekregen. In het geval van kinderen onder de 16 heb je toestemming nodig van de ouders.
  • De persoon in kwestie moet makkelijk zijn of haar toestemming kunnen geven én weer in kunnen trekken.
  • Transparantie en informeren spelen een belangrijke rol. Je moet helder (in duidelijke en eenvoudige bewoording) en precies aangeven waarvoor iemand zijn/haar toestemming geeft (doel) en wat de gevolgen hiervan zijn. Dit geldt wanneer je de gegevens direct van de betrokkene hebt ontvangen, maar ook wanneer je deze via een andere partij hebt ontvangen, mits de betrokkene al op de hoogte is.

Overigens hoef je geen toestemming te hebben indien je een zogenoemd ‘gerechtvaardigd belang’ hebt om de gegevens te verwerken. Hier kan bijvoorbeeld sprake van zijn wanneer een overeenkomst is gesloten, op basis waarvan gegevens mogen worden verwerkt.

Daarnaast biedt de AVG een aantal aanvullende rechten:

Doorgeven verwijdering gegevens en dataportabiliteit

De Wbp bood mensen al het recht om een organisatie te verzoeken hun persoonsgegevens te verwijderen. De AVG voegt hieraan het recht toe om te eisen dat de organisatie deze verwijdering doorgeeft aan alle andere organisaties die deze gegevens via het bedrijf hebben ontvangen.

Ook het recht op dataportabiliteit is nieuw. Dit houdt in dat men (onder bepaalde voorwaarden) het recht heeft om van een organisatie hun persoonsgegevens in een standaardformaat ontvangen. Een interessante toevoeging, want wanneer iemand naar een andere leverancier (bijvoorbeeld bank of telecomprovider) wil overstappen, kan deze persoon zijn of haar gegevens bij de oude leverancier opvragen en makkelijk doorgeven aan de nieuwe.

De AVG en (e-mail)marketing

In tegenstelling tot wat veel mensen denken brengt de AVG niet veel veranderingen voor e-mailmarketing met zich mee. Het regelen van toestemming voor het verzenden van commerciële en charitatieve e-mail (opt-in) wordt nog steeds geregeld in de Telecommunicatiewet.

Wat wel verandert door de AVG is de manier waarop toestemming gevraagd moet worden:

  • Je moet specifiek aangeven welke informatie in welke frequentie gestuurd gaat worden.
  • Toestemming moet expliciet gegeven (en ingetrokken kunnen) worden (dus geen vooraangevinkte vakjes of verwijzing in de algemene voorwaarden).
  • Je moet kunnen aantonen dat de toestemming op een juiste manier is verkregen.

Naast de AVG is de Europese Commissie (EC) bezig met het wetsvoorstel voor een nieuwe ePrivacy Verordening. Deze verordening regelt (onder andere) de inzet van e-mail, cookies en telemarketing.

Profilering

Profilering is in de AVG gewoon toegestaan, maar wel op voorwaarde dat de uitkomst geen rechtsgevolgen heeft voor de betreffende persoon of hem/haar niet op een andere manier in aanmerkelijke mate treft. Dit betekent dat je bijvoorbeeld een klantwaardeonderzoek zonder toestemming mag uitvoeren. In het kader van de informatieverplichting moet je de klant hierover echter wel informeren.

Wat moet je als organisatie doen?

Het niet naleven van de AVG kan je organisatie een boete opleveren die kan oplopen tot maximaal 20 miljoen euro of 4 procent van je omzet. Het is daarom verstandig om te onderzoeken of je huidige processen, diensten en producten al voldoen aan de AVG of dat aanpassingen nodig zijn. De Autoriteit Persoonsgegevens (AP) heeft 10 stappen uitgewerkt die je als organisatie nu kunt nemen om straks klaar te zijn voor de AVG / GDPR.

Lees meer over dit stappenplan op de website van AP.

Wat doen wij als BrixCRM?

Net als andere Europese organisaties, zijn wij als BrixCRM verantwoordelijk voor de persoonsgegevens die wij beheren en de manier waarop we hiermee omgaan. Vanuit security oogpunt hebben we daarom de benodigde maatregelen getroffen met betrekking tot onze cloud. Dit is echter, zoals beschreven in deze blog, slechts een onderdeel van de voorbereidingen die wij en andere organisaties moeten treffen. De AVG / GDPR heeft met name betrekking op de inrichting van bepaalde werkprocessen. Denk hierbij aan het toestemming vragen om persoonsgegevens voor bepaalde doeleinden te verwerken.

Omdat onze klanten verantwoordelijk zijn voor de persoonsgegeven die zij verwerken (en voor de persoonsgegevens die BrixCRM namens hun in de BrixCloud verwerkt), willen wij onze klanten zo goed mogelijk van dienst zijn bij de voorbereiding op de AVG / GDPR.

De consultants van BrixCRM volgen daarom een opleiding, waarin specifieke business issues worden behandeld, zodat zij onze klanten kunnen adviseren / helpen om aan hun wettelijke verplichtingen te voldoen. Hiermee wordt de kennis over de AVG / GDPR binnen onze organisatie gewaarborgd en blijft dataprivacy een belangrijk onderdeel vormen van al onze activiteiten en overwegingen.

Ook Sugar kan binnenkort belangrijke ondersteuning bieden bij de voorbereiding op de nieuwe wetgeving. Hiervoor wordt een speciale tool geïntroduceerd, die gebruikers begeleidt in het voorbereidingsproces. Meer hierover in een latere blog!

Meer informatie over de AVG / GDPR

In deze blog heb ik een aantal belangrijke aspecten van de AVG / GDPR toegelicht. De wetgeving is echter te uitgebreid om volledig in deze blog te kunnen bespreken. Wil je je verder verdiepen in de AVG? Kijk op autoriteitpersoonsgegevens.nl of neem contact op met een juridisch adviseur.

AVG / GDPR training

Begin 2018 start onze klant en partner Beeckestijn Business School met de training ‘AVG / GDPR voor CRM, Marketing en Sales’. Meer weten? Neem contact met ons op.

Edwin Siebum

Directeur

Ik kijk met een heel positief gevoel terug op het traject dat we met BrixCRM hebben doorlopen.

Joost Degrande - ADMB
Close menuX