AVG/GDPR: meest gestelde vragen (deel 2)

Frank Beunk Geen categorie

In deze blog en deel 1 van de meest gestelde AVG vragen zijn al veel privacy gerelateerde vragen en antwoorden voorbij gekomen. Nu de deadline voor de AVG dichterbij komt, merken wij dat veel bedrijven nog met onduidelijkheden zitten. Daarom geven wij je een opsomming van de meest gestelde AVG vragen van afgelopen maand.

1. Vervangt de AVG alle bestaande privacywetgeving?
Nee. In Nederland heb je op dit moment de Wet Bescherming Persoonsgegevens en de Telecommunicatiewet als privacyregelgeving. De AVG zal de Wet Bescherming Persoonsgegevens vervangen. Daarnaast bestaat na 25 mei nog steeds de Telecommunicatiewet welke niet door de AVG vervangen zal worden. Deze wetten gaan beiden over privacy, maar ze hebben een ander toepassingsgebied. De AVG beslaat alle vormen van verwerkingen van persoonsgegevens. De Telecommunicatiewet richt zich uitsluitend op de verwerking van persoonsgegevens voor elektronische communicatiediensten. Deze laatste is dus een specifieke wet, waarin onder andere de regels staan voor telemarketing, het verzenden van e-mail en het plaatsen van cookies.
Terwijl de sector druk bezig is met de implementatie van de AVG wordt er in Brussel hard gewerkt aan een vervanging van de e-Privacy Richtlijn. Dat is de Europese wet die in Nederland ingevoerd is in de Telecommunicatiewet. Dit zal net als de AVG een Verordening worden. De e-Privacy Verordening zal de Telecommunicatiewet vervangen. Hij is nog niet definitief en ook is nog onduidelijk wanneer deze uiteindelijk klaar voor invoering zal zijn.

2. Is een ‘dubbele-opt-in’ verplicht onder de AVG/GDPR?
Nee. Voor degenen die niet bekend zijn met deze term: een ‘dubbele-opt-in’ is een tweestapsmechanisme waarbij een persoon zijn e-mailadres moet bevestigen nadat hij zich voor het eerst heeft aangemeld voor bijvoorbeeld een nieuwsbrief. Voor de AVG/GDPR is geen dubbele opt-in vereist, hoewel bepaalde landen (zoals Duitsland) dit wel verplicht kunnen stellen.

In Nederland is dit tot op heden niet het geval. Ook onder de AVG is er geen aanleiding om aan te nemen dat daar iets aan verandert. Het klopt dat de AVG zegt dat je toestemming moet kunnen aantonen, maar er is geen specifieke instructie voor hoe en wat je moet aantonen. Een dubbele opt-in kan daarvoor een goede werkwijze zijn. Je hebt dan extra zekerheid dat het daadwerkelijk gaat om de eigenaar van het e-mailadres. Een bijkomend voordeel is dat je spelfouten en niet bestaande e-mailadressen eruit filtert, dit is goed voor je datakwaliteit.

3. Moeten alle persoonsgegevens nu in de EU worden opgeslagen?
Nee. De GDPR heeft geen verplichting om gegevens in de EU op te slaan en de regels voor de overdracht van persoonsgegevens buiten de EU veranderen niet. Dit betekent dat, zolang de persoonlijke gegevens ‘adequaat beschermd’ zijn, gegevens in het buitenland kunnen worden overgedragen. De EU heeft bijvoorbeeld een lijst opgesteld van landen waarvan zij achten dat zij een adequate beschermingsstandaard bieden (bekend als ‘witte lijst landen’), dus het is toegestaan om gegevens naar die landen over te brengen

4. Veranderen de bewaartermijnen onder de AVG?
Nee. Zodra de AVG van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking. Daarom is het noodzakelijk verwerkingsdoelen en bewaartermijnen vast te leggen in een Verwerkersovereenkomst. Leg de bewaartermijn ook altijd vast in je Verwerkingsregister en Privacyverklaring.

5. Ben je AVG-proof met een ISO 27001-certificering?
Organisaties die hun gegevensverwerkingen hebben laten certificeren met de 27001 norm kunnen daarmee aantonen dat zij hun informatiebeveiliging op een erkend niveau hebben. De AVG vereist dat je ‘passende technische en organisatorische maatregelen’ treft om persoonsgegevens te beveiligen. Een ISO-certificering zal voor marketingdata in de meeste gevallen passend zijn, of zelfs een niveau hoger dan wettelijk vereist.

Toch ben je hiermee nog niet compliant met de AVG. Gegevensbeveiliging is namelijk maar een beperkt onderdeel van de AVG. Denk alleen al aan het recht van verzet: wanneer iemand aangeeft dat je zijn gegevens niet meer voor marketingdoeleinden mag blijven verwerken. Of de regels over profilering en de afspraken die je moet maken met verwerkers. Een ISO 27001 certificering kijkt niet naar deze onderwerpen, en kan er dus niet voor zorgen dat je helemaal in lijn met de AVG werkt.

6. Moet ik voor het verwerken van persoonsgegevens altijd toestemming vragen?
Nee, dit hoeft niet altijd. De AVG geeft drie grondslagen voor het verwerken van persoonsgegevens voor marketing doeleinden. Eén daarvan is dat je iemands data mag gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is. Deze grondslag kun je in veel gevallen gebruiken. Bij de wettelijke grondslag hoef je ook geen toestemming te vragen. Een voorbeeld hiervan is het verwerken van adresgegevens bij het versturen van een aangekocht product.

7. Waar kan ik aanvullende informatie en documentatie vinden?
Wil je graag nog meer informatie over de AVG dan raden wij je de volgende websites en documenten aan:

EU – General Data Protection Regulation (GDPR)
EU – Algemene Verordering Gegevensbescherming (AVG)
Website van de Autoriteit persoonsgegevens
AVG 10-stappenplan
Website van de DDMA