De Algemene Verordening Gegevensbescherming (AVG) is Europese privacywetgeving die van toepassing is op het verwerken van persoonsgegevens. Dit begrip is erg ruim, zo moet je bijvoorbeeld denken aan een naam of telefoonnummer, maar ook aan een IP-adres. Daarnaast geldt de AVG voor alle lidstaten van de EU. Het doel hiervan is dat er overal in Europa een gelijk speelveld is (ook wel: geharmoniseerde wetgeving) en dat iedere Europese burger op dezelfde wijze beschermd wordt. Dat betekent dus dat een organisatie in Spanje op dezelfde wijze om moet gaan met persoonsgegevens als een organisatie in Nederland. Wanneer een organisatie data gebruikt voor marketingdoeleinden is de AVG vaak van toepassing. Daarom lees je op deze pagina alles wat jij moet weten over de AVG-regels bij marketing.
Veelgestelde vragen
Ja, ook al zijn persoonsgegevens gepseudonimiseerd, het zijn nog steeds persoonsgegevens. De AVG is nog volledig van toepassing. Het kan wel het verschil maken bij veel risico-afwegingen die je moet maken onder de AVG. Door pseudonimisering zijn gegevens namelijk wat minder gevoelig.
Nee, de AVG geeft drie grondslagen voor het verwerken van persoonsgegevens voor marketingdoeleinden, namelijk: toestemming, noodzakelijk voor de uitvoering van een overeenkomst en het gerechtvaardigd belang.
Het gerechtvaardigd belang houdt in dat je iemands data mag gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is.
Omdat de impact op iemands persoonlijk leven bij B2B-marketing over het algemeen minder groot is dan bij B2C, zal je vaker gebruik kunnen maken van deze grondslag. Dat betekent bijvoorbeeld dat je niet per se ondubbelzinnige toestemming nodig hebt om twee B2B-databases, met in de ene database contactgegevens en in de andere database functietitels, aan elkaar te koppelen
Dit is niet voor alle organisaties het geval. Er zijn criteria opgesteld aan de hand waarvan iedere organisatie zal moeten beoordelen of ze verplicht zijn om een FG aan te stellen. Dit is bijvoorbeeld het geval als een organisatie voor het uitvoeren van zijn kerntaak op grote schaal bijzondere persoonsgegevens verwerkt. Ook ben je verplicht een FG aan te stellen wanneer je organisatie stelselmatig op grote schaal betrokkenen observeert. Denk daarbij aan het volgen van betrokkenen met tracking cookies over meerdere websites, of het vastleggen van locatiepatronen. Waar de grens precies ligt is niet helemaal duidelijk. Om onze leden te helpen bij het bepalen of een FG verplicht is hebben we een handige checklist opgesteld.
Meer informatie:
AVG: R.o: .97; Art.37;
Nee, dat kan niet. Zeer waarschijnlijk hoef je ook geen FG aan te stellen als ZZP’er. Eén van de criteria is namelijk dat de gegevensverwerkingen grootschalig moeten zijn en dat is niet altijd het geval bij ZZP’ers. Als het, kijkend naar alle criteria, wél verplicht is dan zul je nog steeds niet jezelf tot FG kunnen benoemen. Je moet als FG altijd vanuit een onafhankelijke rol kunnen toetsen of de AVG nageleefd wordt. Dat is niet mogelijk wanneer je als eigenaar zelf een belang hebt bij de bedrijfsvoering. Je zult dan iemand anders moeten inhuren die deze rol kan vervullen.
Nee, het is voor de AVG niet relevant of je gegevens digitaal of analoog verwerkt. Als je persoonsgegevens verwerkt dan is de AVG daarop van toepassing. Zo kan een datalek bijvoorbeeld ook plaatsvinden als vertrouwelijke papieren documenten verloren gaan of in verkeerde handen komen.
Meer informatie:
Deel 1: persoonsgegevens de Basics (aan te vragen op deze AVG pagina)
AVG: Overweging 26; Art 4(1)
Relevante publicaties
onze legal specialisten
Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.