blog

    Vragen over de nieuwe privacy regels?

    Monique Hennekens
    Monique HennekensPublicatiedatum: 9 juni 2017
    Vragen over de nieuwe privacy regels?

    Binnen een jaar zullen alle organisaties moeten voldoen aan de nieuwe Europese privacy regels. Vanaf 25 mei 2018 zul je moeten kunnen aantonen dat jouw organisatie ‘privacy compliant’ is. Dat vraagt de nodige voorbereiding en kan leiden tot diverse vragen.  

    Hulp van de Autoriteit Persoonsgegevens

    In de maand juni van 2017 geeft de Autoriteit Persoonsgegevens iedere week antwoord op de drie meest gestelde vragen over de komende AlgemeneVerordening Gegevensbescherming (AVG). Ik zal hieronder kort aandacht besteden aan de drie meest gestelde vragen van deze week.

    Direct marketing en toestemming

    De eerstemeest gestelde vraag is of zonder toestemming van de ontvanger reclame mag worden toegestuurd, dan wel of personen op andere wijze mogen worden benaderd voor marketingdoeleinden. Toestemming is nodig indien reclame digitaal wordt verstuurd, zoals per e-mail, sms of app. Deze toestemming moet actief en geïnformeerd kunnen worden gegeven. Dat betekent dat een actieve handeling nodig is van de betrokkene, zoals bijvoorbeeld het aanvinken van een check-box. Ook zal bij de vraag om toestemming duidelijk en goed moeten worden geïnformeerd over de doeleinden waarvoor je de persoonsgegevens verwerkt en met welke organisaties je deze deelt. Bij marketing via telefoon of post geldt de verplichting van toestemming niet. Maar bij alle vormen moet een ontvanger zich wel altijd makkelijk kunnen afmelden. Het afmelden moet bij iedere marketing boodschap duidelijk worden aangegeven en moet gratis zijn.

    Gelden de nieuwe privacy regels ook voor kleine ondernemingen en ZZP’ers?

    De tweedemeest gestelde vraag is of de nieuwe privacyregelgeving ook geldt voor kleine mkb’ers en zzp’ers. Omdat de verplichtingen omvangrijk zijn gaan veel kleine ondernemingen of ondernemers ervan uit dat deze verplichtingen niet voor hen gelden. Dat is echter niet zo. De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken, zoals gegevens van klanten of cliënten. Er zijn een paar uitzonderingen,  maar het merendeel van de verplichtingen geldt onverkort. Zo zullen ook kleine ondernemingen en zzp’ers bewerkersovereenkomsten moeten sluiten, hun klanten moeten informeren over hoe ze met hun persoonsgegevens omgaan, de persoonsgegevens adequaat moeten beveiligen en datalekken melden.

    Wat moet een Functionaris voor de Gegevensbescherming doen en kunnen?

    De derdevraag van deze week gaat over de Functionaris voor de Gegevensbescherming (FG). Voor overheidsorganisaties, organisaties die stelselmatig mensen observeren, of grootschalig bijzondere persoonsgegevens zoals medische gegevens verwerken, zijn onder de AVG verplicht een FG te hebben. Deze kan in dienst zijn, maar het mag ook een externe zijn. De FG dient een onafhankelijke positie te hebben en geniet bepaalde (ontslag)bescherming in de uitvoering van zijn/haar taken als FG. De vereiste expertise en vaardigheden van een FG omvatten volgens de AP in ieder geval:

    • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
    • begrip van de gegevensverwerkingen die de organisatie uitvoert;
    • begrip van IT en informatiebeveiliging;
    • kennis van de organisatie en de sector waarin die actief is;
    • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

    Als jouw organisatie een FG moet hebben op grond van de AVG, is het verstandig deze alvast te zoeken of intern op te leiden.

    Aan de slag!

    Mede aan de hand van de antwoorden van de AP op de meest gestelde vragen zul je als organisatie aan de slag moeten om op 25 mei 2018 privacy compliant te zijn. Een goede eerste stap is om aan de slag te gaan met het opstellen van het zogenaamde verwerkingsregister. Zie mijn eerdere artikel over de documentatieplicht.

    Heb je vragen over de AVG of wilt u advies bij het implementeren van de nieuwe privacy regels, neem dan contact op met Monique Hennekens