1. Hoe hoog zijn de boetes?

Iedereen heeft het inmiddels wel gehoord: aan de GDPR/AVG (hierna AVG, kort voor  Algemene Verordening Gegevensbescherming) zijn hoge boetes verbonden. Er geldt straks een tweeledig boeteregime. Voor zwaardere verplichtingen geldt een hogere maximumboete dan voor minder zwaardere verplichtingen. Een paar voorbeelden:
Zwaar – boete van 20 miljoen euro of 4 procent van de omzet
Voor het overtreden van de basisbeginselen van de AVG zoals de voorwaarden voor het vragen van toestemming.
Voor het overtreden van de verplichtingen met betrekking tot de rechten van de individuen, zoals het recht op dataportabiliteit of recht van verzet.
Minder zwaar – boete van 10 miljoen euro of 2 procent van de omzet
Voor het niet (of te weinig) implementeren van maatregelen in verband met privacy by design of privacy by default.
Voor het inschakelen van een verwerker zonder de wettelijke verplichtingen voor een verwerkersovereenkomst.
2. Gaan die boetes echt uitgedeeld worden?
Als we de toezichthouder mogen geloven, gaan die boetes zeker worden uitgedeeld. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), schroomt niet om dit in de media te benadrukken. De AP heeft straks ook meer bevoegdheden en kan onder omstandigheden bijvoorbeeld ook een boete opleggen aan verwerkers, zoals een e-mail service provider, een searchbureau of een callcenter.
Veel verplichtingen uit de nieuwe wetgeving gelden nu ook al, bijvoorbeeld het recht van verzet in direct marketing. Zeker op die onderdelen kan geen coulance worden verwacht van de toezichthouder. Het advies is: zet alles op alles om tijdig aan de AVG te voldoen.
3. Welke bedrijven lopen het meeste risico?
Dat is een beetje in een glazen bol kijken. De AP is straks verplicht om klachten van individuen in behandeling te nemen en zal dus meer gaan opereren op basis van die klachten van consumenten. Waarschijnlijk zal de bakker om de hoek dus niet als eerste een handhavingsverzoek krijgen, maar eerder partijen die veel – misschien gevoelige – gegevens verwerken.
PERSOONSGEGEVENS
4. Wat zijn persoonsgegevens?
De AVG definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Uit de rechtspraak weten we dat naw-gegevens, e-mailadressen, ip-adressen, locatiegegevens en smartphone-identifiers persoonsgegevens (kunnen) zijn. Maar een klantprofiel, aankoopgeschiedenis of klikgedrag dat bij dat persoonsgegeven hoort, is dan dus ook een persoonsgegeven. Het gaat immers om “alle informatie over…”.
Ook als je persoonsgegevens pseudonimiseert – bijvoorbeeld door hashing of encryptie – is er nog sprake van persoonsgegevens. Pas wanneer je alle identificerende factoren uit het gegeven haalt en er geen reconstructie van het persoonsgegeven mogelijk is, zijn de gegevens anoniem en is er geen sprake meer van een persoonsgegeven.
Uiteindelijk kun je in de praktijk (of bij een juridisch geschil) veel discussie hebben over wanneer er sprake is van een persoonsgegeven. Tot slot worden gegevens van rechtspersonen (zie ook vraag 6) en overleden personen niet beschouwd als persoonsgegevens.
5. Wat wordt precies verstaan onder het verwerken van persoonsgegevens?
Verwerken is een breed begrip, zelfs ‘opslaan’ is al verwerken. Maar ook gebruiken, analyseren, combineren of verwijderen is verwerken. Je kunt er dus eigenlijk gewoon vanuit gaan dat je bij digitale marketing persoonsgegevens aan het verwerken bent zodra je ermee te maken hebt.
6. Vallen b2b-gegevens ook onder de AVG?
Ja, ook een b2b-gegevens, bijvoorbeeld een werkmailadres, kan een persoonsgegeven zijn. Het risico op klachten van mensen bij de AP lijkt hierover lager, omdat een werkmailadres minder invloed heeft op iemands persoonlijke leven dan bijvoorbeeld een privé 06-nummer. De impact op de privacy is doorgaans wat lager, maar de privacywetgeving blijft van toepassing als het persoonsgegevens betreft.
TOESTEMMING
7. Wanneer mag je persoonlijke data gebruiken, oftewel persoonsgegevens verwerken?
Open deur: als je je aan de wetgeving houdt. Voor de verwerking van persoonsgegevens heb je een rechtmatige ‘grondslag’ nodig, net als onder de Wbp. Voor marketing zijn drie grondslagen relevant:
Als de gegevens noodzakelijk zijn om een overeenkomst uit te voeren. Dit gaat echt alleen om noodzakelijke gegevens, en is dus een beperkte grondslag. Denk aan naw-gegevens voor het bezorgen van een pakketje. Maar voor het bezorgen van een pakketje hoef je niet een geboortedatum te weten of het geslacht van de koper.
Als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is. Deze grondslag vergt een grondige analyse. Denk aan een verwerking als het gebruik van Google Analytics. Je kunt het zonder toestemming gebruiken, maar dan moet je wel de impact op de privacy van het individu verminderen, onder andere door de gegevens alleen voor analytische doeleinden te gebruiken, te pseudonimiseren en aanvullende afspraken maken.
Als je ondubbelzinnige toestemming hebt van het individu, bijvoorbeeld als iemand heeft aangevinkt een nieuwsbrief te willen ontvangen.
Een van deze grondslagen is voldoende, je hoeft ze niet alle drie te kunnen afvinken.
Een valkuil is daarbij wel dat mensen denken dat ze met het hebben van toestemming voldoen aan alle privacyregels. Ook als je een goede toestemming hebt gevraagd, moet je je uiteraard nog steeds houden aan alle andere regels van de privacywetgeving.
8. Toestemming vragen om gegevens te verwerken moet nu ook al. Wat verandert er?
Toestemming onder de AVG is aangescherpt ten opzichte van de huidige wetgeving. Maar zo groot is die verandering ook weer niet, mits je de huidige wetgeving goed geïmplementeerd hebt. Toestemming moet eenvoudig te begrijpen zijn, je moet toestemming kunnen bewijzen en mensen moeten actief toestemming geven.
Allemaal vrij logisch eigenlijk en niet een (grote) verandering ten opzichte van de huidige wetgeving. De Europese toezichthouders gaan nog toelichting geven op het effect van de aanscherping en hoe zij daar tegenaan kijken.
RECHTEN VAN CONSUMENTEN
9. Wat betekent het recht op dataportabiliteit?
Onder de AVG krijgen individuen meer controle over hun persoonsgegevens. Het nieuwe recht op dataportabiliteit is daar een voorbeeld van en staat ook wel bekend als gegevensoverdraagbaarheid (‘data portability‘). Mensen kunnen een deel van hun persoonsgegevens overdragen van de ene aanbieder aan de andere.
Als iemand bijvoorbeeld wil wisselen van bank, energieaanbieder of zorgverzekeraar dan kan hij/zij dus zijn/haar persoonsgegevens meenemen. Dit recht is niet alleen een juridische en technische uitdaging, maar vergt ook een bepaalde mate van samenwerking met concurrenten.
10. Moet ik gegevens ook verwijderen als ik ze heb overgedragen?
Nee, een verzoek om data over te dragen impliceert niet ook direct een verzoek op het recht van verzet of vergetelheid. Dit kan natuurlijk wel, dus als iemand ook een beroep doet op die andere rechten, moet je daarmee ook aan de slag. Als iemand overstapt, speelt daarnaast natuurlijk de vraag of je de persoonsgegevens nog nodig hebt. Zo niet, dan moet je de gegevens in het kader van dataminimalisatie wél verwijderen.
INFORMEREN
11. Waar moet ik gebruikers over informeren als ik data verzamel?
Transparantie is een belangrijk onderdeel van de AVG en als organisatie ben je verplicht je klanten en prospects te informeren over de verwerking van hun persoonsgegevens. Zo moet je bijvoorbeeld informeren over de doeleinden waarvoor je gegevens verwerkt, welke rechten mensen hebben en hoe ze daar gebruik van kunnen maken.
Dit kun je natuurlijk doen in een privacystatement, maar daarnaast kun je ook op andere plekken informeren. Bijvoorbeeld in een inlog-omgeving, met ‘hover overs‘ bij een aanmeldformulier of door in een filmpje uit te leggen wat je precies doet. Sluit aan bij je doelgroep en leg zo eenvoudig mogelijk uit wat je waarom aan het doen bent.
12. Wat moet ik veranderen in mijn privacystatement?
Veel dingen blijven hetzelfde. Je moet blijven informeren over de soorten persoonsgegevens die je verwerkt en voor welke doeleinden je dat doet. Daarnaast moet je consumenten informeren over hun rechten, inclusief de nieuwe rechten zoals het recht op dataportabiliteit en het recht om vergeten te worden. Ook moet je duidelijk maken hoe lang je gegevens bewaart, of de data eventueel aan derden worden doorgegeven en dat mensen een klacht kunnen indienen bij de AP.
SAMENWERKINGEN MET DERDE PARTIJEN
13. Moet ik altijd een verwerkersovereenkomst afsluiten?
Als je een verwerker inschakelt (of als jij als verwerker wordt ingeschakeld), moet je inderdaad een verwerkersovereenkomst afsluiten. Ook dit is niet nieuw, want dat moet nu ook al. De AVG geeft een vast lijstje met onderwerpen dat je moet behandelen in de verwerkersovereenkomst. Bijvoorbeeld afspraken over de doeleinden van de verwerking, de manier van beveiliging van gegevens, de hulp bij het uitvoeren van rechten van individuen en de manier waarop je omgaat met persoonsgegevens buiten de EU.
Ook moet een verwerker toestemming vragen voor het inschakelen van (een categorie) sub-verwerkers en moet de verwerker met die sub-verwerker(s) weer een verwerkersovereenkomst sluiten.
ORGANISATIE
14. Hoeveel mensen worden in mijn organisatie geraakt door de nieuwe regels?
Omdat data steeds belangrijker worden voor organisaties, zullen ook steeds meer mensen ermee te maken krijgen. Het is dus van belang binnen je hele organisatie een bewustzijn te creëren over de privacyregels. Dit is vaak ook nodig om aan de AVG te voldoen, want privacy by design alleen door juristen toe laten passen, is waarschijnlijk niet succesvol.
Niet iedereen hoeft te weten wat een begrip als het gerechtvaardigd belang betekent, maar wel wanneer je te maken hebt met persoonsgegevens en welke collega je kunt inschakelen als je er niet meer uitkomt.
15. Moet ik een data privacy officer of functionaris gegevensbescherming aanstellen?
Sommige organisaties zijn verplicht een  functionaris gegevensbescherming (FG) (ook wel data privacy officer of DPO) aan te stellen. Hoe meer gegevens je verwerkt en hoe gevoeliger die gegevens zijn, hoe groter de kans dat je verplicht bent een FG aan te stellen.
Een FG heeft wettelijk bepaalde taken en heeft een bepaalde mate van ontslagbescherming. Een FG is dus een speciale titel. Omdat de vereisten voor het aanstellen van een FG vaag zijn geformuleerd, is het voor veel bedrijven helaas (nog) lastig te zeggen of zij verplicht zijn om een FG aan te stellen. Maar los daarvan heeft het vaak de voorkeur om in ieder geval één persoon (of afdeling) binnen je organisatie verantwoordelijk te maken voor privacy. Op die manier gaat het AVG-traject sneller lopen en is het gemakkelijker om draagvlak te creëren.
16. Moet ik voor elke campagne een ‘privacy impact assessment’ doen?
Niet voor elke campagne. Een verantwoordelijke moet (kortweg) een privacy impact assessment (PIA) uitvoeren als er waarschijnlijk een hoog privacyrisico zit aan de verwerking van persoonsgegevens. Dit hoge risico kan ontstaan als je een nieuwe technologie gaat gebruiken, als je gevoelige gegevens verwerkt of omdat de context waarin je de gegevens verwerkt voor individuen een grote impact heeft. Met een PIA maak je een risico-inschatting van de verwerking om uiteindelijk te bekijken of je dat risico kan verkleinen.
17. Wat verandert er als mijn organisatie in meerdere landen actief is?
De AVG is direct van toepassing in alle EU-lidstaten. Onder de huidige wetgeving hadden lidstaten meer ruimte om nationale verschillen te implementeren. Daardoor is actief zijn in meerdere EU-landen en samenwerken met andere EU-organisaties straks in principe makkelijker, omdat er minder verschil is.
Bron: DDMA