Dag 32, Mythe 32: Je moet verwerkersovereenkomsten afsluiten met je bank, verzekeraar en zelfs met de Belastingdienst.

“Deze derde partijen ontvangen persoonsgegevens van jullie. Dit is nodig voor de uitvoering van de diensten die zij leveren. Om te weten of je met hen een verwerkersovereenkomst moet afsluiten moet vastgesteld worden of zij onder de AVG de rol van ‘verwerker’ hebben. Met een organisatie die zelf verantwoordelijke is hoeft namelijk geen verwerkersovereenkomst te worden afgesloten. Je bent verantwoordelijke wanneer je het doel en de middelen van de verwerking bepaalt. Wanneer je persoonsgegevens van je medewerkers deelt met een verzekeraar dan verwerkt deze verzekeraar de persoonsgegevens voor eigen doeleinden. Zij bepalen in grote mate zelf het doel en de middelen van de verwerking.

Zo bepaalt een verzekeraar bijvoorbeeld zelf hoe zij de data beveiligen, met welke verwerkers ze samenwerken, en informeren zij zelf de betrokkene over de verwerking in een privacy statement. In het geval van een datalek zullen zij dit zelf melden aan de toezichthouder, en indien nodig aan de betrokkene. Doordat zij die invloed hebben op de verwerkingen zijn ze verantwoordelijke. Ze verwerken niet op instructies van iemand. Ook wanneer de samenwerking met jullie eindigt zullen zij de gegevensverwerking niet stoppen, omdat ze de gegevens vanwege wettelijke verplichtignen nog moeten bewaren. Om die reden hoeft een organisatie geen verwerkersovereenkomst af te sluiten. Er is dan geen sprake van een verwerker-verantwoordelijke relatie tussen de organisaties en de verzekeraar. Ze zijn beiden verantwoordelijke voor hun eigen deel van de verwerking.

Dit is lastige materie, ook voor juristen is het soms moeilijk om hier een standpunt over in te nemen. Het is belangrijk om de rolverdeling te bekijken per verwerking en niet per partij. Je kunt in een samenwerking namelijk verschillende rollen hebben afhankelijk van de verwerking die je voor elkaar doet.”

Meer informatie:

Artikel 28 lid 3 AVG

Dag 31, Mythe 31: Onderzoek valt niet onder de AVG.

“Wanneer het je marktonderzoek niet anoniem uitvoert is er sprake van verwerkingen van persoonsgegevens, daardoor valt het wél binnen de AVG. Het misverstand komt waarschijnlijk door de Telecommuncatiewet. Omdat marktonderzoek vaak niet voor commerciële, charitatieve of ideële doeleinden plaatsvindt kan het daarmee buiten de Telecommunicatiewet vallen. Dit heeft invloed op de regels voor e-mail en telemarketing.

Maar wanneer kan iets beschouwd worden als marktonderzoek? De wetgever zegt over de Telecommunicatiewet het volgende: Onder marktonderzoek wordt in zijn algemeenheid verstaan: “Iedere vorm van kwantitatief en/of kwalitatief onderzoek met gebruikmaking van statistische of andere wetenschappelijke methodes waarmee wordt beoogd om over doelgroepen of populaties uitspraken te doen op niet-individueel identificeerbaar niveau.”

Om te kunnen spreken over markt- en verkiezingsonderzoek mag er geen sprake zijn van een directe/rechtstreekse koppeling tussen de vergaarde informatie en verkoop of werving. Er is ook dan sprake van een directe koppeling van de verzamelde informatie met verkoop of werving, indien de verzamelde informatie (op een later tijdstip) wordt gebruikt om personen waarover informatie is verzameld te benaderen voor verkoop of werving.

Marktonderzoek is dus niet voor commerciële, charitatieve of ideële doeleinden en valt daarmee onder bepaalde voorwaarden buiten de Telecommunicatiewet. Voor ‘puur’ marktonderzoek via e-mail is toestemming dus niet nodig. Zolang deze gegevens niet worden gebruikt om rechtstreeks de betrokkene te benaderen met een aanbod, is er geen sprake van direct marketing en is de bepaling (artikel 11.7 Tw) niet van toepassing.

Maar wanneer het marktonderzoek ook een commerciële/upselling boodschap bevat valt het wel onder de bepaling en is toestemming wel een vereiste. Dit zijn marktonderzoeken waarin je een aanbod doet, oproept tot doneren of de organisatie promoot.”

Dag 30, Mythe 30: De AVG vervangt alle bestaande privacywetgeving.

“In Nederland heb je op dit moment de Wet bescherming persoonsgegevens en de Telecommunicatiewet als privacyregelgeving. De AVG zal de Wet bescherming persoonsgegevens vervangen. Daarnaast bestaat na 25 mei nog steeds de Telecommunicatiewet welke niet door de AVG vervangen zal worden. Deze wetten gaan beiden over privacy, maar ze hebben een ander toepassingsgebied. De AVG beslaat alle vormen van verwerkingen van persoonsgegevens. De Telecommunicatiewet richt zich uitsluitend op de verwerking van persoonsgegevens voor elektronische communicatiediensten. Deze laatste is dus een specifieke wet, waarin onder andere de regels staan voor telemarketing, het verzenden van e-mail en het plaatsen van cookies.

Terwijl de sector druk bezig is met de implementatie van de AVG wordt er in Brussel hard gewerkt aan een vervanging van de e-Privacy Richtlijn. Dat is de Europese wet die in Nederland ingevoerd is in deTelecommunicatiewet. Dit zal net als de AVG een Verordening worden. De e-Privacy Verordening zal de Telecommunicatiewet vervangen. Hij is nog niet definitief en ook is nog onduidelijk wanneer deze uiteindelijk klaar voor invoering zal zijn. Het is te verwachten dat de eerste concept teksten nog verschillende keren zullen aangepast worden. Het is daarom logisch dat bedrijven zich nog niet richten op de nieuwe regelgeving in dit voorstel. Maar hij gaat wel komen, en de impact zou wel eens net zo groot, zo niet groter kunnen zijn dan de veranderingen die de AVG met zich mee heeft gebracht.”

Dag 29, Mythe 29: Je kunt een datalek pas melden als je alle details weet.

Als je een datalek moet melden, dan geeft de AVG hiervoor wettelijke termijnen. Het moet zonder onredelijke vertraging, en waar mogelijk niet later dan 72 uur nadat je ervan op de hoogte bent. Het is begrijpelijk dat je als verantwoordelijke niet direct alle details kent. Zo kan het in een beginstadium lastig in te schatten zijn of het datalek gemeld moet worden. Daarmee is rekening gehouden in de AVG. Daarin wordt bepaald dat wanneer je niet direct alle details hebt, er ook een voorlopige meldig gemaakt kan worden. Die melding kan dan aangevuld worden zodra er meer informatie bekend wordt. Wanneer later blijkt dat de melding niet nodig was kan deze ook weer worden ingetrokken.

Meer informatie:
Artikel 33 AVG
Overwegingen 73 en 85 t/m 88

Dag 28, Mythe 28: Er is een uitzondering in de AVG voor goede doelen.

Dit is niet het geval. De AVG gaat over alle persoonsgegevens en dus ook over de persoonsgegevens die goede doelen verwerken, of de gegevens die door een andere organisatie in opdracht van goede doelen worden verwerkt. Wanneer goede doelen aan marketing doen, moeten zij zich net als iedereen aan de privacywetgeving houden. Er is hiervoor dus geen uitzondering.

Dag 27, Mythe 27: Alles wordt anders na 25 mei

De nieuwe privacywet vraagt van organisaties dat zij meer doen op het gebied van accountability. Ofwel: je moet zelf kunnen aantonen dat je je aan de AVG houdt. Ook worden de rechten van betrokkenen uitgebreid en aangevuld. Grotendeels bouwt de AVG verder op haar voorganger, die in Nederland is ingevoerd in de Wet Bescherming Persoonsgegevens. Die wet heeft vergeleken met andere EU lidstaten gezorgd voor een strenge interpretatie van de regels. Bovendien kennen we in Nederland al een meldplicht voor datalekken, ook dit is dus niets nieuws in Nederland. Als je organisatie op dit moment werkt in overeenstemming met de Wbp, dan sta je er ook met betrekking tot de AVG al goed voor. De AVG bestaat namelijk voor 80% uit bestaande regels. Je hebt dan alsnog een aardige klus om aanpassingen te doen voor de AVG, maar dit is eerder een update van je huidige privacyreglement dan een volledig andere manier van werken.

Dag 26, Mythe 26: Datalekken kun je beter voor jezelf houden.

Waarom zou ik mijn eigen fout toegeven aan degene die over de straffen gaat? Zolang de Autoriteit Persoonsgegevens niets weet kan hij ook geen boete uitkeren. Dit klopt niet, deze aanpak werkt alleen zolang de autoriteiten ook niets komen te weten. Het risico is natuurlijk dat de autoriteiten er toch achter komen, bijvoorbeeld via gedupeerde klanten, klokkenluiders of mediaberichten. Grote kans dat de boete dan hoger zal zijn, dan als je de datalek wel gelijk had gemeld. Er bestaat ook een kans dat je naast het melden aan de Autoriteit Persoonsgegevens ook een melding moet doen aan individuen, zodat zij zelf ook acties kunnen ondernemen om de schade beperkt te houden. Bij het niet melden kan de schade niet beperkt worden, dit is een belangrijke factor voor de Autoriteit Persoonsgegevens.

Meer informatie:
Artikel 33 AVG
Artikel 34 AVG
Meldplicht datalekker AP

Dag 25, Mythe 25: Om aan AVG te voldoen moet voortaan alle data versleuteld opgeslagen worden.

De AVG is een zege voor de markt van data encryptie. Maar het klopt niet dat je altijd wettelijk verplicht bent alle data te versleutelen om aan de AVG te voldoen. Versleuteling kan belemmerend werken, zoals bij het doorzoeken van data of analytics. Hoe gevoeliger de data, hoe zwaarder de eisen aan de beveiliging. Voor gevoelige data is versleutelen vaak wel nuttig. De AVG verplicht iedereen bij verwerkingen van persoonsgegevens een passende beveiliging te waarborgen. Wat precies passend is en in welke gevallen is dus een eigen afweging die de verantwoordelijke moet maken. Dit moet je ook goed kunnen beargumenteren wanneer daarnaar gevraagd wordt door de Autoriteit Persoonsgegevens.

Meer informatie:
Artikel 5 AVG

Dag 24, Mythe 24: Wie zich niet aan de AVG houdt betaalt 4 procent boete.

Wie leest over de AVG wordt doorlopend gewaarschuwd voor boetes. Daarbij wordt meestal alleen de maximumboete genoemd: 4% van de wereldwijde omzet van de onderneming. Dit is niet onjuist, maar geeft wel een vertekend beeld de risico’s die je loopt wanneer je de AVG overtreedt. Er zijn twee categorieën boetes. De zwaarste categorie heeft 20 miljoen Euro en 4% van de omzet als maximum. Bij de andere categorie is dit de helft: 10 miljoen en 2%. Dit zijn maximumboetes, het kan lager maar mag niet hoger. Bij het opleggen van boetes moet de Autoriteit Persoonsgegevens (AP) zelf ook regels volgen. De AVG bepaalt dat een boete “”doeltreffend, evenredig en afschrikkend”” moet zijn. Om dit invulling te geven zal de AP beleidsregels opstellen waarin kaders worden gesteld voor het bepalen van de sanctie. Factoren die mee kunnen wegen zijn bijvoorbeeld het type persoonsgegevens, de impact van de overtreding op betrokkenen, de omvang van de overtreding en de omvang van de nalatigheid van de organisatie.

Vergeet ook niet dat de boete een van de zwaarste sanctiemiddelen van de AP is. Er zijn ook lichtere handhavingsinstrumenten waarbij je als organisatie geen geldbedrag hoeft te betalen. Een voorbeeld is het ‘normoverdragend gesprek’.

Meer informatie:
Artikel 83 AVG
Overweging 150 AVG

Dag 23, Mythe 23: Boetes zijn de grootste bedreiging voor uw organisatie.

Er wordt veelbesproken over de hoge boetes die je organisatie kan krijgen. Niet te vergeten is dat de publieke opinie net zo belangrijk is. Consumenten worden zich namelijk steeds privacybewuster. Ze willen meer controle over hoe hun gegevens worden gebruikt. Organisaties die zich aan de regels van de AVG houden worden daarom meer gewaardeerd door hun klanten

Dag 22, Mythe 22: AVG is vergelijkbaar met Y2K.

De AVG is een veelbesproken onderwerp. Het wordt wel eens vergeleken met Y2K. Het ‘probleem’ dat bij de jaarwisseling van 2000 bij computersystemen zou gaan ontstaan. Je ziet nu dat organisaties dezelfde aanpak hanteren: werken aan een specifiek project met einddatum, namelijk 25 mei. Dit is helaas niet de goede aanpak. Het voldoen aan de wetgeving is een proces dat altijd doorgaat en niet iets dat je kunt afvinken. Zorg ervoor dat je bedrijfsprocessen zodanig aanpast dat je ook na 25 mei kunt blijven voldoen aan de AVG.

Dag 21, Mythe 21: Naast de AVG moet je ook controleren of je voldoet aan de eisen van de GDPR.

Dat is niet waar, de General Data Protection Regulation (GDPR) is een Europese verordering die de Wet bescherming persoonsgegevens vervangt vanaf 25 mei 2018. De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse vertaling van de GDPR. Ofwel: het is dezelfde wet in een andere taal, er zijn geen andere verschillen.

Meer informatie:
Nederlandse AVG
Engelse GDPR

Dag 20, Mythe 20: De bewaartermijnen worden onder de AVG verplicht veel korter.

Nee. Je mag persoonsgegevens na 25 mei 2018 even lang bewaren als nu. Voor het bepalen van de bewaartermijn geldt dan nog steeds dat je persoonsgegevens mag verwerken zo lang als dat nodig is voor het doel van de verwerking. Wat wél verandert is dat je zult moeten vastleggen en communiceren hoe je de bewaartermijn vaststelt. Bijvoorbeeld door in het privacy-statement te communiceren dat marketingdata van klanten wordt verwijderd wanneer er twee jaar lang geen aankoop meer is geweest. Ieder bedrijf kan tot een ander redelijk termijn besluiten, als je maar uitlegt hoe je eraan gekomen bent.

Meer informatie:
Overweging 39 AVG

Dag 19, Mythe 19: Je bent verplicht om met iedere verwerker een aparte verwerkersovereenkomst af te sluiten.

Dit is niet helemaal waar, de AVG verplicht dat wanneer je als verantwoordelijke een verwerker in schakelt, je daarmee schriftelijke afspraken maakt over die verwerking. De wet zegt niet in welke vorm je die afspraken moet maken. Een veelgekozen methode is de verwerkersovereenkomst, maar dit is niet de enige en waarschijnlijk ook niet de meest efficiënte manier. Je mag deze afspraken ook onderdeel maken van de opdrachtovereenkomst of algemene voorwaarden. DDMA heeft een model verwerkersovereenkomst opgesteld, deze vraag je hier aan.

Meer informatie:
Artikel 28 lid 3 AVG

Dag 18, Mythe 18: Je mag onder de AVG geen marketingcampagnes meer doen zonder vooraf een PIA (Privacy Impact Assessment) uit te voeren.

Dit is niet waar. Het uitvoeren van een Privacy Impact Assessment (PIA) wordt alleen verplicht voor verwerkingen met een hoog risico voor de betrokkenen. Dit zal zeker niet bij iedere campagne het geval zijn. Het wordt wél verplicht om te beoordelen of een PIA nodig is, door te signaleren controleren wat het risico van een verwerking (of serie verwerkingen) van persoonsgegevens inhoudt. Het versturen van een e-mailcampagne zal geen hoog risico voor betrokkenen inhouden. Dat kan anders zijn wanneer je gebruik maakt van een combinatie van locatiedata en het internetgedrag over meerdere websites. Ook het gebruik van een nieuwe technologie zoals beacons of RFID chips kunnen aanleiding geven tot een verplichte PIA.

Een PIA is een vragenlijst waarmee je de privacy risico’s van je project in kaart brengt. Bij twijfel of een PIA verplicht is, kan het verstandig zijn om ertoe te besluiten er wel een uit te voeren, het kan nooit kwaad te weten waar de privacyrisico’s liggen binnen een project. Na het in kaart brengen van de risico’s analyseer je de maatregelen die je genomen hebt om die risico’s te beperken (bijvoorbeeld pseudonimiseren), als onderaan de streep blijkt dat er nog steeds sprake is van een hoog risico zul je terug moeten naar de tekentafel. Je mag niet beginnen met de verwerking voordat het risico voldoende beperkt is.

DDMA heeft voor leden een PIA checklist, waarmee je snel kunt bepalen of een PIA verplicht is. Deze vraag je hier aan.

Meer informatie:

Artikel 28 lid 3 AVG
Overweging 89 t/m 95 AVG

Dag 17, Mythe 17: We zijn AVG-proof met een ISO 27001-certificering.

Organisaties die hun gegevensverwerkingen hebben laten certificeren met de 27001 norm kunnen daarmee aantonen dat zij hun informatiebeveiliging op een erkend niveau hebben. De AVG vereist dat je ‘passende technische en organisatorische maatregelen’ treft om persoonsgegevens te beveiligen. Een ISO-certificering zal voor marketingdata in de meeste gevallen passend zijn, of zelfs een niveau hoger dan wettelijk vereist.
Toch ben je hiermee nog niet compliant met de AVG. Gegevensbeveiliging is namelijk maar een beperkt onderdeel van de AVG. Denk alleen al aan het recht van verzet: wanneer iemand aangeeft dat je zijn gegevens niet meer voor marketingdoeleinden mag blijven verwerken. Of de regels over profilering en de afspraken die je moet maken met verwerkers. Een ISO 27001 certificering kijkt niet naar deze onderwerpen, en kan er dus niet voor zorgen dat je helemaal in lijn met de AVG werkt.

Meer informatie:

Normen ISO
Artikel 5 AVG
Overweging 11 AVG

Dag 16, Mythe 16: Je valt niet onder de AVG als je geen gegevens van consumenten verwerkt.

In de berichtgeving over de AVG wordt veelvuldig gesproken over de rechten van burgers, consumenten, individuen en privépersonen. Het gebruik van deze termen wekt de indruk dat de nieuwe privacywet alleen van toepassing is op organisaties die zich richten op consumenten, maar dat is niet het geval. De regels gelden voor verwerkingen van persoonsgegevens – en dat kan dus ook B2B-data zijn. Bedrijven bestaan namelijk uit personen, en zodra een gegeven iets zegt over een herleidbare persoon is de AVG van toepassing.

Zo is matthiasdebruyne@ddma.nl een persoonsgegeven, net als mijn directe telefoonnummer. Dit zijn namelijk gegevens waarmee ik als persoon geïdentificeerd kan worden. Een B2B-marketeer die dit type persoonsgegevens verwerkt is daarom verplicht zich aan de AVG houden. Uiteraard zal niet de gehele dataset uit persoonsgegevens bestaan. Het adres van DDMA is geen persoonsgegeven. Ook het e-mailadres en het telefoonnummer van de klantenservice van een grote onderneming zijn dit niet.

Wanneer een dataset deels uit persoonsgegevens en deels uit overige data bestaat is het aan te raden om het hele bestand te behandelen als persoonsgegevens, om te voorkomen dat achteraf blijkt dat je organisatie zich niet aan de AVG heeft gehouden.

Meer informatie:

Artikel 4 lid 1 AVG

Dag 15, Mythe 15: Voor het verwerken van persoonsgegevens moet je altijd toestemming vragen.

De AVG geeft drie grondslagen voor het verwerken van persoonsgegevens voor marketingsdoeleinden. Eén daarvan is dat je iemands data mag gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is.
Omdat de impact op iemands persoonlijk leven bij B2B-marketing over het algemeen minder groot is dan bij B2C, zal je vaker gebruik kunnen maken van deze grondslag. Dat betekent bijvoorbeeld dat je niet per se ondubbelzinnige toestemming nodig hebt om twee B2B-databases, met in de ene database contactgegevens en in de andere database functietitels, aan elkaar te koppelen

Let op: voor ZZP’ers kan dit anders zijn. De regels voor het verwerken van gegevens van een zzp’er zijn vergelijkbaar die van een consument.

Meer informatie:

Artikel 7 AVG

Dag 14, Mythe 14: Onder 250 medewerkers hoef je geen verwerkingenregister en/of DPO.

Dit is alleen voor het verwerkingenregister gedeeltelijk waar. Er is voor de verplichting om een verwerkingenregister bij te houden een uitzondering voor organisaties met minder dan 250 medewerkers. Helaas zal vrijwel geen enkele organisatie zich op deze uitzondering kunnen beroepen. Deze kleine organisaties zijn vrijgesteld, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens. Deze drie criteria moeten dus alledrie aanwezig zijn. Voor organisaties in onze sector zal het niet vaak voorkomen dat gegevensverwerking incidenteel is. Bovendien heeft bijna iedere organisatie bijzondere persoonsgegevens, denk hiervoor alleen al aan het bijhouden van ziekteverzuim van personeel.
Voor de verplichting om een Data Protection Officer (in het Nederlads Functionaris Gegevensbescherming) aan te stellen is de uitzondering voor kleine ondernemingen niet meegenomen in de definitieve versie van de AVG.

Een kleine troost: in de Uitvoeringswet AVG is een amendement van kamerlid van der Staaij opgenomen waarin wordt verzocht bij de toepassing van de verordening rekening te houden met de omvang van bedrijven en organisaties. Administratieve lasten moeten zoveel mogelijk worden voorkomen. Hierbij wordt onder meer verwezen naar de definitie van het begrip kleine, middelgrote en micro-ondernemingen uit artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie. Hierin is voor de categorie kleine, middelgrote en micro-ondernemingen sprake van een grens van 250 werknemers, een jaaromzet van 50 miljoen euro of een balanstotaal van 43 miljoen euro als begrenzing. Algemeen uitgangspunt dient immers te zijn dat Nederland geen onnodige extra lasten oplegt aan bedrijven en organisaties. Dit amendement houdt geen uitzondering in voor kleinde ondernemingen, maar het geeft de Autoriteit Persoonsgegevens aanknopingspunten om aan kleinere ondernemingen minder zware eisen te stellen bij handhaving.

Meer informatie:

Artikel 30 lid 5 AVG
Artikel 37 AVG
Overweging 13 AVG
DPO checklist DDMA deel 3
Amendement van der Staaij AVG

Dag 13, Mythe 13: De uitzondering op de opt-in regel voor e-mail voor bestaande klanten vervalt per 25 mei. Vooraf aangevinkte hokjes mogen namelijk niet meer.

Dit klopt niet, de klantrelatie wordt niet in de AVG geregeld maar in de Telecommunicatiewet. De Telecommunicatiewet is een specifieke wet, waarin de huidige e-Privacy Richtlijn in Nederland is ingevoerd. Deze wet wijzigt niet met de komst van de AVG. Specifieke wetten gaan voor op algemene wetten en de AVG is een algemene wet. Als de AVG en de e-Privacy Richtlijn elkaar tegenspreken gaan daarom de uitzonderingen uit de Telecommunicatiewet vóór.
De klantrelatie wordt ook wel de soft opt-in genoemd, het is een uitzondering op de regel dat je toestemming nodig hebt van personen om ze een elektronisch bericht te sturen met commerciële, ideële of charitatieve doeleinden. Dit geldt niet alleen voor e-mail, maar ook voor SMS of Whatsapp berichten. Als je duidelijk informeert over wat je gaat sturen en je verder aan de regels omtrent de uitzondering houdt (artikel 11.7 lid 3 Tw) mag je ook na de komst van de AVG nog steeds zonder toestemming je klanten berichten sturen met commerciële, ideële of charitatieve doeleinden.

Meer informatie:

Artikel 11,7 lid 3 Telecommunicatiewet
Artikel 4 AVG 

Dag 12, Mythe 12: Naast bewerkersovereenkomsten moet je nu ook verwerkersovereenkomsten afsluiten.

Dit is niet waar, de verwarring komt door de verandering van de wettelijke term. In de Wbp werd gesproken over een ‘bewerker’ waar in de vernieuwde AVG wetgeving wordt gesproken over een ‘verwerker’. Hier wordt dus hetzelfde mee bedoeld.

Meer informatie:

Artikel 14 Wbp
Artikel 28 AVG 

Dag 11, Mythe 11: De AVG is alleen van toepassing op data die in Europa verwerkt wordt.

Dit is niet waar. De werking van de AVG is juist een uitbreiding buiten de EU:
– Verwerkingen door een verantwoordelijke of verwerker vallen binnen de AVG als je gegevens verwerkt in de context van activiteiten van Europese burgers, ongeacht wat de locatie van de data is.
– Als je organisatie persoonsgegevens verwerkt in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt. Dit is al het geval als je je product of dienst richt op inwoners van een Europese lidstaat. Bijvoorbeeld door de taal of .nl extensie.

Zorg er dus voor dat je blijft rekening houden met de AVG wanneer je gegevens verwerkt buiten de EU, bijvoorbeeld wanneer je gebruik maakt van cloud-opslag buiten de EU, of handige tools uit de VS. Het zelfde geldt wanneer je als bureau werkt voor niet-Europese organisaties de zich richten op de Europese markt. Wees erop voorbereid dat ook deze organisaties AVG-compliant moeten werken.

Meer informatie:

Artikel 1 AVG
Artikel 4 lid 1 AVG
Overwegingen 27, 158, 160

Dag 10, Mythe 10: Je mag onder de AVG geen persoonsgegevens meer doorsturen buiten de EU zonder toestemming.

Het niet verboden om persoonsgegevens door te geven buiten de EU, maar je bent wél verplicht om te zorgen voor extra waarborgen waardoor de gegevens net zo goed beschermd zijn als binnen de EU. Volgens de wet moet er door de verantwoordelijke een passend beschermingsniveau van persoonsgegevens gegarandeerd worden. Dit kan bijvoorbeeld door hiervoor een overeenkomst te sluiten met een Cloud Service Provider. De Europese Commissie stelt verschillende soorten modelovereenkomsten ter beschikking op hun website die voldoende waarborgen bieden. Let op: deze overeenkomst is niet hetzelfde als een verwerkersovereenkomst. Voor organisaties in de Verenigde Staten kan de Privacy Shield regeling een oplossing bieden. Er is bepaald dat Amerikaanse organisaties die hierbij zijn aangesloten voldoende beschermingsniveau bieden.

Meer informatie:

AVG Art. 44 (e.v.)

Dag 9, Mythe 9: Wanneer je aan de AVG voldoet, ben je in heel Europa compliant met privacywetgeving.

Dit is helaas niet het geval, al worden de regels met de komst van de AVG wel gelijker. De voorganger van de AVG (de Wet bescherming persoonsgegevens) is een implementatie van een Richtlijn uit Europa. Een Richtlijn geeft, zoals de naam doet vermoeden, meer ruimte voor Europese lidstaten om af te wijken bij de implementatie. Met de AVG hebben we te maken met een Verordening, daarvan mag slechts in details worden afgeweken. Voor die details is de Nederlandse wetgever momenteel bezig met de Uitvoeringswet AVG. Er zullen op detailniveau dus nog verschillen zijn tussen de lidstaten. Dit is bijvoorbeeld het geval bij de leeftijd waarop een kind toestemming mag geven.
Naast de AVG vallen ook de e-Privacyregels in de categorie ‘privacywetgeving’. Dat is nu nog op grond van een Europese Richtlijn, in Nederland is dit in de Telecommunicatiewet geïmplementeerd. Hier staan onder andere de regels voor telemarketing, cookies en e-mail in. Met de komst van de AVG zal de Telecommunicatiewet blijven bestaan en zullen de verschillen in landen voor deze regels hetzelfde blijven. Ondertussen wordt in Brussel gewerkt aan een vervanging van de e-Privacy Richtlijn door een Verordening.

De aanvullende zelfregulering verschilt momenteel ook van land tot land.

Meer informatie:

Verschil in richtlijnen en verordeningen door Europese Commissies
Wetsvoorstel e-Privacy Verordening van de Europese Commissies
AVG: Overweging

Dag 8, Mythe 8: Dubbele opt in voor e-mail wordt verplicht onder de AVG.

Dit is niet waar. In een aantal Duitse Bundesländer heeft de lokale privacytoezichthouder geoordeeld dat een dubbele opt-in vereist is om te kunnen bewijzen dat iemand toestemming heeft gegeven. In Nederland is dit tot op heden niet het geval. Ook onder de AVG is er geen aanleiding om aan te nemen dat daaraan iets verandert. Het klopt dat de AVG zegt dat je toestemming moet kunnen aantonen, maar er is geen specifieke instructie voor hoe en wat je moet aantonen. Een dubbele opt-in kan daarvoor een goede werkwijze zijn. Je hebt dan extra zekerheid dat het daadwerkelijk gaat om de eigenaar van het e-mailadres. Een bijkomend voordeel is dat je spelfouten en niet bestaande e-mailadressen eruit filtert, dit is goed voor je datakwaliteit.

Meer informatie:

WP 29: Guideline over toestemming (niet definitief)
AVG Overweging: 32, 33, 42

Dag 7, Mythe 7: Profiling mag nooit meer zonder toestemming.

Dit is niet helemaal waar. Profilering is een verwerking van persoonsgegevens, waarvoor je zult moeten beoordelen wat de grondslag is. Die grondslag hoeft niet altijd toestemming te zijn. Bij een lage impact op de privacy kan het gerechtvaardigd marketingbelang een geschikte grondslag zijn, als je daarvoor de juiste afwegingen hebt gemaakt. Als de impact te groot is dan moet je zorgen voor een andere grondslag, toestemming vragen is dan een voor de hand liggende oplossing. In de AVG is een nieuwe categorie toegevoegd waarvoor wél altijd toestemming gevraagd moet worden. Dit gaat over geautomatiseerde besluiten waaraan rechtsgevolgen zijn verbonden, of besluiten die de betrokkene op een vergelijkbare manier raken. Dit zal voor marketing uitzonderlijk zijn. Je moet hier denken aan het weren van bepaalde personen door hen een hogere prijs te rekenen, of richten van advertenties met goedkope leningen aan personen in financiële problemen.
Meer informatie:

AVG: Overweging 60, 63, 70, 71, 72, 73, 75; Art.4(4), 21(2)-(3), 20
WP29 Guideline over profiling

Dag 6, Mythe 6: Ik heb een eenmanszaak (ik ben eigenaar en heb geen personeel en ook geen uitzendkrachten of stagiaires). Ik moet mijzelf dus aanstellen als FG (functionaris voor gegevensbescherming).

Voor ZZP’ers en eenmanszaken zal het slechts in uitzonderlijke gevallen wettelijk verplicht zijn om een FG aan te stellen. Één van de criteria is namelijk dat de gegevensverwerkingen grootschalig moeten zijn. Als het wél verplicht is dan zul je jezelf niet tot FG kunnen benoemen. Je moet als FG vanuit een onafhankelijke rol kunnen toetsen of de AVG nageleefd wordt. Dat is niet mogelijk wanneer je als eigenaar zelf een belang hebt bij de bedrijfsvoering. Je zult dan extern iemand moeten inhuren die deze rol kan vervullen.

Meer informatie:

AVG Overweging: 97; artikel 37;
WP29 DPO Guidelines
AVG deel 3: De DPO & Privacy by Design

Dag 5, mythe 5: Een overtreding van de AVG kost je 20 miljoen Euro boete.

De nieuwe boetebevoegdheid van de toezichthouder wordt in vrijwel iedere publicatie over de AVG genoemd. Het klopt dat de Autoriteit Persoonsgegevens voor zware overtredingen 20 miljoen Euro boete kan opleggen, of 4% van de wereldwijde omzet van de onderneming als dat hoger is dan 20 miljoen. Dit is niet het doel van de AVG, deze wet is om te zorgen voor een Europabreed gelijk beschermingsniveau van persoonsgegevens. De maximumboete is daarin de zwaarste sanctie. Voordat de toezichthouder tot handhaving overgaat moet worden gekeken of aan een van de volgende criteria is voldaan:
– ernstige overtreding;
– structurele overtreding;
– overtreding die veel mensen treffen;
– overtreding waarbij de AP door de inzet van handhavingsinstrumenten effectief verschil kan maken;
– overtreding die valt binnen de (jaarlijkse) aandachtspunten van de AP.

Als vervolgens wordt besloten tot het opleggen van een boete zijn beleidsregels van de toezichthouder bepalend voor de hoogte van die boete. Deze beleidsregels zijn voor de AVG nog niet beschikbaar. Op basis van de huidige beleidsregels wordt bij het bepalen van de hoogte van de boete gekeken naar de ernst van de overtreding. Die ernst is afhankelijk van de aard van de overtreding, de duur van de overtreding en de impact op de betrokkenen en de maatschappij.

Meer informatie:

  1. AVG: Overweging 150, 152; Art.83
  2. AVG deel 6: Boetes en Handhaving van de AVG
  3. Working Party 29 Guideline fines

Dag 4, mythe 4: De AVG is niet relevant als je gegevensbeveiliging goed in orde is.

Door de naam Algemene Verordening Gegevensbescherming wordt vaak onterecht aangenomen dat het een beveiligingsvraagstuk is. Het gaat echter om veel meer. Security is maar een beperkt onderdeel van de nieuwe wet. Het gaat om de bescherming van persoonsgegevens in de breedste zin van het woord. Maak daarom niet de fout om de AVG te zien als een IT/Security vraagstuk. Het is relevant voor alle personen die binnen je organisatie met persoonsgegevens werken.

Meer informatie:

  1. Wbp, tw, AVG,: hoe zit privacywetgeving in elkaar?

Dag 3, mythe 3: Het maakt voor de AVG niet uit of persoonsgegevens gepseudonimiseerd zijn.

Als je een dataset met persoonsgegevens pseudonimiseert dan worden identificatoren zoals een naam of klantnummer gecodeerd, waardoor directe herkenning niet mogelijk is. Met gebruik van de ‘sleutel’ kan deze codering worden ongedaangemaakt, waardoor directe herkenning wel mogelijk is. Het klopt dat het dan nog steeds gaat om persoonsgegevens, waarop de AVG volledig van toepassing is, maar het kan wel het verschil maken bij veel risico-afwegingen die je moet maken onder de AVG. Bijvoorbeeld wanneer een verantwoordelijke moet beslissen of een datalek gemeld moet worden aan de toezichthouder, of wanneer je wilt weten of je een PIA moet uitvoeren. Pseudonimisering werkt risicoverlagend. Het kan je organisatie helpen bij de toepassing van Privacy by Design en Privacy by Default.

Meer informatie:

  1. De AVG (R.o.26, 28-29, 75, 78, 156; Art.4(5), 6(4)(e), 25(1), 32(1)(a), 40(2)(d), 89(1)
  2. AVG deel 2: Persoonsgegevens, de basics
  3. Working Party 29 Opinion 4/2007 on the concept of personal data

Dag 2, mythe 2: Elk bedrijf moet vanaf mei 2018 een Functionaris Gegevensbescherming / Data Protection Officer in dienst hebben.

Dit is niet voor alle organisaties het geval. Er zijn criteria opgesteld aan de hand waarvan iedere organisatie zal moeten beoordelen of ze verplicht zijn om een DPO aan te stellen. Dit is bijvoorbeeld het geval als een organisatie voor het uitvoeren van zijn kerntaak op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere gegevens zijn onder andere gegevens die iets zeggen over iemands gezondheid, of politieke opvattingen. Ook ben je verplicht een DPO aan te stellen wanneer je organisatie stelselmatig op grote schaal betrokkenen observeert. Denk daarbij aan het volgen van betrokkenen met tracking cookies over meerdere websites, of het vastleggen van locatiepatronen. Waar de grens precies ligt is niet helemaal duidelijk. Om onze leden te helpen bij het bepalen of een DPO verplicht is hebben we een handige checklist opgesteld. Wat je ook beslist, zorg ervoor dat je je afwegingen vastlegt zodat je de toezichthouder kunt laten zien hoe je tot je besluit bent gekomen.

Meer informatie:

1.AVG: R.o: .97; Art.37;
2.WP29 DPO Guidelines
3.AVG deel 3: De DPO & Privacy by Design

Dag 1, mythe 1: AVG is alleen van toepassing op digitale bestanden.

De AVG bepaalt de regels voor het verwerken van persoonsgegevens. Omdat dit tegenwoordig grotendeels digitaal gebeurt wordt papier al snel vergeten. Dat is onterecht, want het is voor de AVG niet relevant of je gegevens digitaal of analoog verwerkt . Als je persoonsgegevens verwerkt dan is de AVG daarop van toepassing. Zo kan een datalek bijvoorbeeld ook plaatsvinden als vertrouwlijke papieren documenten verloren gaan of in verkeerde handen komen. Ook bij een verzoek tot inzage in verwerkte persoonsgegevens mag je papieren documenten niet vergeten.

Meer informatie:

Deel 1: persoonsgegevens de Basics
AVG: Overweging 26; Art 4(1)
WP 29:  wp136 On the concept of personal data

Over DDMA

Over DDMA

DDMA is een non-profit platform door en voor marketeers, dataspecialisten, techies en privacykenners. Bij DDMA vinden de scherpste vakdiscussies plaats als het gaat om datagebruik in marketing. Deelnemers aan deze waardevolle dialoog zijn 300 organisaties die lid zijn van DDMA. Denk aan Philips, KLM, Adobe, Emakina, SBS, Unicef, Van Gogh, Sanoma enz.

Word lid van DDMA en:

  • word actief in een commissie. Je brengt en ontvangt kennis, stapt buiten de kaders van je baan en je ontmoet mensen die relevant zijn in je carrière als marketeer.
  • ontvang uitnodigingen voor member only events als Elites en Member meetups.
  • neem je verantwoordelijkheid als professional die met data werkt. Maak gebruik van onze gratis juridische helpdesk en laat ons je bijpraten over de datawet uit 2018.