De nieuwe privacy wet
Op 25 mei 2018 zal de huidige Wet Bescherming Persoonsgegevens (WBP) vervangen worden door nieuwe privacy wet: de AVG (Algemene Verordening Gegevensbescherming), ook wel GDPR (General Data Protection Regulation) genoemd. Alle bedrijven die persoonsgegevens verwerken van inwoners van de EU, moeten dan ‘compliant’ zijn met de nieuwe wetgeving. Onder persoonsgegevens vallen dan onder meer: naam, IP-adres, postcode en e-mailadres.
De wet is een uitbreiding en versterking van de privacy-rechten van consumenten, en zorgt voor grotere verantwoordelijkheden voor organisaties. Online worden er diverse gegevens uitgewisseld tussen bezoekers en websites. Wanneer je een website of webshop hebt en persoonsgegevens verwerkt, voor bijvoorbeeld een bestelling, contactformulier of nieuwsbrief inschrijving, is de AVG-wet van toepassing.
Belangrijke definities binnen de AVG
Binnen de wetgeving worden verschillende rollen genoemd:
- Betrokkene – De persoon van wie gegevens wordt vastgelegd, het onderwerp van de data.
- Verwerkingsverantwoordelijke – De organisatie die persoonlijke data verzameld en beslist waar en hoe dit zal worden ingezet.
- Verwerker – De organisatie die persoonlijke data verwerkt in opdracht van de verwerkingsverantwoordelijke.
- Data Protection Officer (DPO) – Een medewerker binnen een organisatie die collega’s, de verwerker en verkwerkingsverantwoordelijke advies en informatie geeft over de GDPR.
Voorbeeld:
Whello verwerkt het IP-adres van een bezoeker op de website van één van onze klanten om bezoekersgedrag te analyseren. In dit geval zijn wij, Whello, de verwerker en is onze klant de verwerkingsverantwoordelijke. De websitebezoeker is de betrokkene.
De AVG/GDPR erkent zes verschillende grondslagen om data te mogen verwerken. Je zal dus altijd aan één van deze grondslagen moeten voldoen voor je legaal persoonsgegevens mag verwerken:
- Legitiem belang – Er is gebalanceerd legitiem belang waar het verwerken van persoonsgegevens voor nodig is, en waar geen ander belang overheerst.
- Toestemming – Er is toestemming gekregen van de betrokkene voor het verwerken van zijn of haar data.
- Contractuele noodzaak – Verwerken is nodig voor de totstandkoming of het uitvoeren van een contract.
- Publiek belang – Alleen geldig voor overheidsinstanties.
- Vitale interesse – Het is vitaal dat specifieke data is verwerkt omdat het gaat om leven en dood.
- Wettelijke verplichting – De verwerkingsverantwoordelijke moet de gegevens verwerken voor legale verplichtingen.
Voorbereiden op de AVG
Het is van groot belang dat je snel begint met alle voorbereidingen om mogelijke sancties van de Autoriteit Persoonsbescherming (AP) te vermijden. Sancties kunnen oplopen tot 20 miljoen euro of 4% van de omzet. Dit zal niet direct het geval zijn, gelukkig krijg je naar alle waarschijnlijkheid eerst een aantal waarschuwingen.
Om jou te helpen bij het klaarstomen van jouw bedrijf voor de nieuwe wetgeving hebben wij een ‘checklist AVG’ geschreven. Lees deze lijst goed door en ga na welke implicaties de AVG op jouw bedrijf zal hebben. Heb je hulp nodig bij het implementeren van deze to-do’s? Stuur een mailtje naar eva@whello.nl, dan laten wij weten wat we voor je kunnen betekenen!
Alhoewel wij alle onderwerpen in deze blog goed hebben uitgezocht, werken er bij Whello geen juristen en is deze inhoud dus ook niet bedoeld als juridisch advies. Om 100% compliant te zijn met de AVG/GDPR raden wij aan om samen met een jurist naar de veranderingen voor jouw bedrijf te kijken. Fruytier is een fijne juridische partij waar wij zelf ook mee samenwerken.
Heb je vragen voor ons? Neem dan gerust contact met ons op of ontmoet onze specialisten!