Wat is de GDPR-verordening? Feiten en fabels op een rij

De GDPR-verordening of AVG wordt in Nederland op 25 mei 2018 van kracht. Deze verordening zorgt ervoor dat in heel Europa dezelfde privacyregels gelden. Deze wet heeft veel gevolgen voor iedereen die (online) zaken doet. Zeker omdat Nederland een van de laatste landen is waar deze regelgeving wordt ingevoerd is haast geboden. In dit artikel zetten wij op een rij wat de GDPR of AVG is, wat je moet doen om voorbereid te zijn, wat de consequenties zijn als je niet aan de verordening voldoet en wat de fabeltjes zijn die de ronde doen. Nadat je dit artikel gelezen hebt kun je zelf snel aan de slag om te voldoen aan de GDPR. Lees dus snel verder!

GDPR en AVG, wat zijn die verordeningen?

Er is al lang(er) discussie over privacy op internet. Tot nu toe mocht elk land zelf weten hoe zij de privacy van haar burgers regelde, maar vanaf 25 mei 2018 is dat voorbij, dan wordt namelijk in heel Europa de GDPR van kracht. GDPR staat voor General Data Protection Regulation. Deze verordening is voor Nederland hernoemd als Algemene Verordening Gegevensbescherming (AVG). De Wet Bescherming Persoonsgegevens, die nu nog de privacy voor Nederlandse burgers regelt, komt per 25 mei te vervallen. De AVG laat ruimte aan landen om zaken zelf in te vullen, dit is in Nederland geregeld in de Uitvoeringswet AVG.

Hoe weet ik of de GDPR of AVG voor mij geldt?

Jouw persoonsgegevens moeten overal binnen de Europese Unie worden beschermd. De bescherming geldt dus voor iedereen. Of je als ondernemer bescherming moet bieden hangt van een paar factoren af. Aan de hand van de volgende vier vragen kun je dit vaststellen:

1. Verwerk je gegevens?
2. Zijn deze gegevens persoonsgegevens?
3. Verwerk je de persoonsgegevens geheel of gedeeltelijk geautomatiseerd, zijn die gegevens opgenomen in een bestand of daartoe bestemd?
4. Valt jouw gegevensverwerking binnen de verordening?

Indien je deze vier vragen met ‘ja’ kunt beantwoorden, ben je onderworpen aan de GDPR. Als je hebt vastgesteld dat dit zo is moet je jezelf afvragen of je verwerker of verwerkingsverantwoordelijk bent. In een simpel voorbeeld, als je op de site vraagt naar NAW-gegevens van de klant ben je verwerker, heb je Google Analytics geïnstalleerd dan ben je verwerkingsverantwoordelijk, aangezien Google persoonsgegevens van jouw site mag verwerken.

Als je zelf verwerkt moet je een aantal stappen ondernemen (zie hierna). Als je een ander gegevens laat verwerken moet je een zogenoemde verwerkingsovereenkomst afsluiten.

Wat betekent de GDPR voor mij als internetondernemer?

De gedachte achter de GDPR-verordening is dat de consument baas is en blijft over zijn eigen persoonsgegevens. Om hiervoor te zorgen is een aantal rechten gedefinieerd voor degene van wie gegevens worden gebruikt. Daarnaast is er een aantal voorwaarden voor de verwerker.

De rechten van de persoon in de GDPR verordening

De rechten van degene van wie gegevens verzameld wordt zijn vastgelegd in 10 regels:

• Het recht op informatie over de verwerking;
• het recht op inzage in zijn of haar gegevens;
• het recht op correctie van onjuiste gegevens;
• het recht op verwijdering van gegevens;
• het recht om vergeten te worden;
• het recht op beperking van de gegevensverwerking;
• het recht op verzet tegen de gegevensverwerking;
• het recht op overdracht van zijn of haar gegevens;
• het recht om toestemming voor gegevensgebruik weer in te trekken;
• het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Als iemand een beroep op zo’n recht doet moet je daaraan (op een enkele uitzondering na) binnen een maand gehoor geven. Je hebt de keuze tussen gemotiveerd afwijzen (met argumenten aangeven waarom je dat recht niet inwilligt) of de gegevens leveren. Als je dit binnen een maand communiceert mag je 2 extra maanden nemen om de gegevens boven tafel te krijgen. Je mag geen kosten in rekening brengen voor het verzoek. Kortom, als je niet voorbereid bent kan zo’n verzoek een dure ‘grap’ worden.
Daarnaast mag je ook niet zo maar om persoonsgegevens vragen. Hiervoor gelden verplichtingen.

De verplichtingen van de verwerker onder de GDPR

Als je persoonsgegevens verzamelt heb je ook een aantal verplichtingen, zo moet je:

• Aangeven welk bedrijf de gegevens op grond van de GDPR verordening verzamelt, wie de contactpersoon is en de gegevens voor bereikbaarheid van die contactpersoon geven;
• Uitleggen voor welk doel je de persoonsgegevens verzamelt;
• Inzichtelijk maken waarom (met welke grondslag) je de gegevens verzamelt en die grondslag uitleggen;
• Aangeven de gegevens ontvangen;
• Uitleggen ofde gegevens naar ‘derde landen’; (landen buiten de EU) worden verstrekt;
• Duidelijk maken welke waarborgen bij verstrekking zijn verkregen en of die waarborgen zijn in te zien;
• Aangeven hoe lang de verstrekte gegevens bewaard worden;
• Duidelijk aangeven welke rechten de verstrekker van de gegevens heeft;
• Uitleggen dat de verstrekker recht heeft om een klacht over verwerking in te dienen bij de Autoriteit Persoonsgegevens;
• Inzichtelijk maken hoe eventuele automatische besluitvorming op grond van die gegevens is geregeld.

Fabeltjes omtrent de GDPR-verordening of AVG

• De GDPR verordening wordt vanaf 25 mei 2018 ingevoerd.
  • Dit is niet waar, de GDPR is al ingegaan op 27 april 2016. Tot 25 mei geldt een overgangsregeling en is de Nederlandse wet nog geldig. Daarna niet meer;
• Het wordt zo onmogelijk om met partijen van buiten de EU te werken!
  • De GDPR-verordening geldt alleen in Europa. Buitenlandse verzamelaars van gegevens, zoals Google of Facebook hebben dus weinig met die regelgeving te maken. Zij zullen dan ook niet met elke website-eigenaar GDPR-afspraken willen maken. Het gerucht is dat je problemen kunt krijgen als je dan toch met bijvoorbeeld Google Analytics werkt. Dit is niet waar. De Europese Unie snapt dat je geen partij bent die aan Google jouw wil kan opleggen. Daarom onderhandelen zij namens alle webshopeigenaren. Dit geldt ook met andere spelers van buiten de EU. Zolang je aan kan tonen dat jouw beleid op orde is, je alles gedaan hebt om aan de GDPR te voldoen en niet wist of had moeten weten dat er misbruik van gegevens zou plaats vinden is het toegestaan met die verwerkers te werken;
• Koude acquisitie of direct mailing is verboden onder de GDPR.
  • Dit is niet waar, je mag gewoon bellen met algemene nummers en algemene e-mailadressen. Als je een persoonlijk e-mailadres of direct telefoonnummer gebruikt moet je aan kunnen tonen dat je die gegevens op juiste wijze verkregen hebt en dat de verstrekker toestemming heeft gegeven voor gebruik voor acquisitiedoeleinden. Dat klinkt als een lastige eis, maar onderzoek leert dat een gratis pizza al genoeg is om alle toestemming te krijgen die je wilt!

Mocht je meer informatie willen over de GDPR, dan kun je deze handleiding van de overheid gebruiken.