15 augustus 2017
Het verschil tussen de AVG en de ePrivacy Verordening simpel uitgelegd
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Net zoals bij elke nieuwe wet die het bedrijfsleven krijgt opgelegd, roept de implementatie van de nieuwe privacywetgeving bij veel organisaties vragen op. Daarnaast is er bij veel organisaties verwarring over de AVG en de ePrivacy Verordening. Is dat nu hetzelfde of staan ze los van elkaar? SDIM zet daarom de belangrijkste feiten van de AVG (opslag, gebruik en verwerking van persoonsgegevens) en de ePrivacy Verordening (regels omtrent e-mail, cookies en telemarketing)Â op een rij.
Algemene Verordening Gegevensbescherming (AVG)
Het is een feit. Vanaf 25 mei zal dezelfde privacywetgeving in de hele Europese Unie gelden en zal de AVG de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. De AVG is de Nederlandse vertaling van de Europese General Data Protection Regulation (GDPR) die burgers meer controle over hun persoonlijke gegevens geeft en ervoor zorgt dat in elk Europees land dezelfde regels op het gebied van databescherming gelden. De AVG is bedoeld om een kader te scheppen waarin het voor iedereen duidelijk is wat de rechten en plichten zijn met betrekking tot opslag, gebruik en verwerking van persoonsgegevens.
Nog weinig bedrijven beseffen wat de consequenties zijn
Meerdere internationale onderzoeken hebben in de afgelopen maanden aangetoond dat een meerderheid van de Europese bedrijven onvoldoende is voorbereid op de invoering van nieuwe Europese datawetgeving. Zo blijkt ook uit recent onderzoek van securitydienstverlener Sophos dat voor (te) veel bedrijven het voldoen aan de AVG een lang en ingewikkeld proces is. En dat komt vooral doordat veel organisaties niet weten hoe ze te werk moeten gaan of wat de gevolgen zijn als ze de AVG niet naleven of er een datalek ontstaat. Die onwetendheid kan echter flink in de papieren lopen. De boetes bij het niet voldoen aan de AVG zijn namelijk fors: maximaal 4 procent van de jaaromzet of 20 miljoen euro. Boetes die in Nederland uitgedeeld worden door de aangestelde toezichthouder: Autoriteit Persoonsgegevens (AP).
Belangrijkste feiten van de AVG op een rij
Feit 1: de AVG is officieel niet van toepassing op business to business, maar let op…
Bij veel organisaties is het niet duidelijk of business-to-businessactiviteiten ook onder de AVG vallen. Nu is vanuit de Europese commissie gecommuniceerd dat de opslag van business-to-businessgegevens (rechtspersonen) buiten de scope van de AVG valt. Echter, zodra de gegevens iets zeggen over een identificeerbaar individu zijn het persoonsgegevens en valt het dus wel degelijk onder de AVG. Bijvoorbeeld zakelijke telefoonnummers die aan een persoon zijn gekoppeld, personeelsadministraties, afbeeldingen met personen erop, locatiegegevens of de omzet van een VOF.
Feit 2: deze data moet je kunnen aanbieden als een individu hierom vraagt
Onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar vanaf 25 mei komen daar nieuwe rechten bij, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop je met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Feit 3: documenteer al de gegevensverwerkingen
In de AVG staat vooral de verwerking van persoonsgegevens centraal. Nu is de basis  van de AVG grotendeels dezelfde als de huidige Wbp, maar voor degenen die hier nog niet mee bekend zijn: het is belangrijk dat je duidelijk jouw gegevensverwerkingen in kaart brengt. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Deze administratieplicht houdt in dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Dit overzicht kun je overigens ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij vragen hun gegevens te corrigeren of te verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag je deze gegevens verwerkt. Beroep je je bijvoorbeeld op een gerechtvaardigd belang of vraag je toestemming aan de betrokkenen? Deze administratieplicht geldt overigens niet voor organisaties waarin minder dan 250 personen werkzaam zijn, tenzij sprake is van een verwerking met een hoog risico of verwerking van bijzondere, biometrische of strafrechtelijke persoonsgegevens.
Feit 4: breng vooraf privacyrisico’s in kaart middels een privacy impact assessment (PIA)
Onder de AVG kun je verplicht zijn een zogeheten privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Je moet een PIA uitvoeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Brancheverenigingen als bijvoorbeeld de DDMA adviseren bedrijven om een standaard PIA te hebben klaarliggen als je verwacht dat dit soort situaties gaan voorkomen. Zo kun je het meteen uitvoeren, en hoeft je niet midden in een project op zoek naar een geschikte PIA. DDMA is momenteel bezig om een dergelijke template te ontwikkelen.
Komt straks uit een PIA naar voren dat de beoogde verwerking een hoog risico oplevert? En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de AP overleggen voordat je met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvang je een schriftelijk advies van de AP.
Feit 5: privacy by design & privacy by default
De AP raadt bedrijven aan om er nu al mee te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Ook geeft de AP advies over hoe je deze beginselen binnen de organisatie kunt invoeren. Zo communiceren zij op hun website dat privacy by design inhoudt dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. En dat privacy by default inhoudt dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
Feit 6: controleer of de organisatie een functionaris voor de gegevensbescherming moet aanstellen
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG.
Feit 7: de meldplicht datalekken blijft
Veel bedrijven waren bang dat de AVG de meldplicht datalekken zou aanpassen, maar goed nieuws: de meldplicht datalekken blijft onder de AVG grotendeels ongewijzigd. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.
Feit 8: bewerkersovereenkomsten worden nog belangrijker
Heb je jouw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met jouw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig de noodzakelijke wijzigingen aan. Want wanneer twee organisaties samen de rol van ‘verantwoordelijke’ hebben, zijn zij onder de AVG (art. 26) ook verplicht om afspraken te maken.
Feit 9: nog strengere eisen aan toestemming vragen
Gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Feit 10: de AVG gaat niet in op de inzet van marketingkanalen als cookies, e-mail en telemarketing!
En dit laatste feit is misschien wel het allerbelangrijkste voor (online) marketeers om duidelijkheid te scheppen. SDIM ziet regelmatig hele goede blogposts voorbijkomen over de AVG, maar in deze artikelen wordt de indruk gewekt dat de kanalen die gebruik maken van elektronische communicatie (e-mail, telemarketing, etc) ook in de AVG zijn vastgelegd en dat is niet correct. NAAST de AVG is de Europese Commissie (EC) sinds januari 2017 ook bezig met het wetsvoorstel voor een nieuwe ePrivacy Verordening.
ePrivacy Verordening
Deze ePrivacy Verordening regelt (onder andere) de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De EC stelt voor dat de ePrivacy wetgeving, net als de AVG, een verordening wordt. Een verordening is, in tegenstelling tot een richtlijn, rechtstreeks van toepassing. Dit betekent dat de wetgeving in principe in heel Europa gelijk is, afgezien van kleine uitzonderingen die de lidstaten zelf kunnen maken, zoals we in Nederland zelf hebben ervaren met de cookiewet.
De EC heeft het zeer ambitieuze plan opgevat om ook de ePrivacy Verordening vanaf 25 mei 2018 toe te passen, tegelijk met de AVG. Echter, dit wetsvoorstel moet nog langs het Europees Parlement en de Raad van Ministers. Het is daarom de vraag of die deadline gehaald gaat worden.
Mocht het concept voor de verordening van e-privacy als wetsvoorstel worden aangenomen door het Europees Parlement en de Raad van de Europese Unie, dan verandert het totale speelveld.
Dan hoef je straks niet meer af te vragen welk kanaal in welk land opt-in is, want dat is – op telemarketing na – in de hele EU hetzelfde. Daarnaast wordt het speelveld groter, want de scope van het concept voor de verordening is veel breder dan cookies. Het gaat over de invloed van gegevensbescherming, over content, over metadata. Maar het betreft ook een wijziging in de definitie van ‘dienstverlener’. OTT (Over The Top)-apps en diensten zoals Snapchat en Netflix en IOT (Internet Of Things) komen namelijk ook onder de verordening te vallen.
Handhaving en boetes ePrivacy Verordening
Op dit moment wordt de e-privacywetgeving in Nederland gehandhaafd door de Autoriteit Consument en Markt (ACM). In het wetsvoorstel staat dat dit in de toekomst zal moeten gebeuren door de Autoriteit Persoonsgegevens, die ook de AVG handhaaft. De boete op het overtreden van de cookiebepaling en het inzetten van andere marketingkanalen is maximaal 10 miljoen euro, of 2 procent van de totale jaarlijkse wereldwijde omzet. In sommige andere gevallen kan een boete oplopen tot 20 miljoen euro of 4 procent van de totale jaarlijkse wereldwijde omzet.
Vraag of opmerking over de AVG of de ePrivacy Verordening?
SDIM hoopt dat je door middel van deze blogpost wat meer inzicht hebt gekregen in de vele veranderingen die je in jouw bedrijfsprocessen moet doorvoeren. Maar bovenal dat je nu duidelijkheid hebt ten aanzien van vragen die al langer bij je speelden. Heb je een vraag of opmerking over de AVG of de ePrivacy Verordening? Neem dan gerust contact op met de specialisten van SDIM. Hun jarenlange ervaring en uitgebreide netwerk stelt hen in staat om je zo goed mogelijk te informeren.
Voetnoot: Aan deze blog kunnen geen rechten worden ontleend. SDIM is geen compliance specialist en heeft deze blogpost op basis van eigen kennis en ervaringen, maar ook van externe bronnen samengesteld.
Bronnen:
hulp nodig van een specialist?
Jan Dirkzwager richtte SDIM op in 2006. 11 jaar later verkocht hij het meerderheidsbelang in SDIM via een management buy-out. Als aandeelhouder bleef hij actief bij SDIM, tot hij in 2024 volledig terugtrad.
Reacties (0)