Wat houdt de AVG in?

Vorig jaar op 25 mei is de nieuwe wetgeving rondom privacy van kracht gegaan. Deze wet heet in Nederland Algemene Verordening Gegevensbescherming (AVG) en in Europa General Data Protection Regulation (GDPR). Voor veel mensen is dit ingewikkelde materie, want wat houdt deze wet nou eigenlijk in? Wij leggen het uit in deze blog.

Liever de vlog kijken over GDPR/AVG? Klik op deze zin!

De kernbegrippen van de AVG

De de kern van de AVG is privacy en privacy is de persoonlijke leefsfeer die ons handelen, eigenschappen en informatie onderscheidt van anderen. Dit is in Nederland een beschermd goed. Sterker nog, deze bescherming is een grondrecht. Dit is een recht die een burger heeft tegenover de staat. Met deze reden verplicht de overheid organisaties dat hun privacybeleid in overeenstemming is met de AVG, ook wel de verantwoordingsplicht van organisaties. In deze verantwoordingsplicht komen een aantal rollen naar voren:

  1. Persoonsgegevens
    Gegevens van een persoon die online verzameld worden. Deze persoon moet zich binnen de grenzen van de Europese Unie bevinden, wil de wet van kracht zijn. Let op! Het gaat om de fysieke locatie van de persoon waarvan gegevens verzameld worden, niet om de nationaliteit.
  2. Verwerkingsverantwoordelijke
    Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van het verwerken van de persoonsgegevens. De verwerkingsverantwoordelijke is verantwoordelijk voor een correct doel en de juiste middelen (lees: systemen).
  3. Verwerker
    Een verwerker verwerkt persoonsgegevens voor de verwerkingsverantwoordelijke. De verwerker moet ervoor zorgen dat de verwerkingsverantwoordelijke aan zijn/haar verplichtingen van de AVG kan voldoen.

Verwerkingsverantwoordelijke en verwerker zijn beide verantwoordelijk voor het nakomen van de AVG. Lees hier meer over de rollen. 

Verschillende manieren van verzamelen van persoonsegevens

De AVG gaat dus over het verzamelen van persoonsgegevens. Je kunt op verschillende manieren persoonsgegevens verzamelen. De wet schrijft 3 niveaus voor:

  • Direct: wanneer een persoon zijn of haar gegevens achterlaat via bijvoorbeeld  jouw website.
  • Partnerschappen: wanneer jij gegevens ontvangt van een partner waarmee je samenwerkt.
  • Commercieel: wanneer je persoonsgegevens koopt via een derde partij.

Naast deze 3 manieren kun je ook via cookies data verzamelen. Cookies komen voor in 2 categorieën:

  • Geanonimiseerd: dan zie je de data alleen in de vorm van cijfers. Denk aan weergaves, bouncepercentages, klikken, etc.
  • Gepseudonimiseerd: dan kun je zien dat iemand meerdere keren actie heeft ondernomen. Denk aan bereik, wanneer één persoon meerdere weergaven heeft. Je kunt deze persoon niet identificeren met deze cijfers.

Bij de meeste cookies kan iemands identiteit niet achterhaald worden, maar het is wel verplicht om toestemming te vragen door middel van een melding onder in de website. Let op! Een cookiewall mag niet, mensen moeten ten alle tijden de website kunnen betreden.

Zijn er schema’s om de AVG goed te na te komen/ begrijpen binnen mijn organisatie?

Ja, die zijn er! Rijksoverheid heeft een document opgesteld met schema’s om te checken of jij als organisatie de AVG goed toepast en bergijpt.  Vind hier de originele schema’s vanuit de Rijksoverheid.

Dit document is alleen niet geschreven in Jip en Janneke taal. Wij kunnen ons daarom voorstellen dat dit document te ingewikkeld is voor mensen met een niet juridische achtergrond.

Is de wet nou wel of niet van toepassing op jouw organisatie?

Wij vonden één schema uit het document erg handig. Namelijk, wanneer is de wet op jouw organisatie van toepassing?

Schema 1:  is de Verordening op u van toepassig?

Alleen vinden wij dat deze stappen of onduidelijke afbakening geven of moeilijke termen gebruiken zonder toelichting. Wat zijn gegevens en wat bedoelen ze met “territoriale toepassingsbereik van de Verordening?”. Per stap geven wij uitleg en in het dik gedrukt kun je het schema snel en begrijpelijk doorlopen:

  1. Wat zijn gegevens? De van Dale definieert het als volgt: “bekend feit waaruit je gevolgtrekkingen kunt maken” Vrij vaag nog. Wij omschrijven het als informatie waaruit je conclusies kunt trekken. Is het informatie waaruit je conclusies kan trekken ga door naar ‘ja’, zo niet ga door naar ‘nee’. 
  2. Wanneer worden gegevens persoonsgegevens? De van Dale geeft hier wel duidelijke opheldering over: “waarmee iemands identiteit kan worden vastgesteld”. Dus, gegevens waarmee je iemands identiteit kan vaststellen. Kun je met de gegevens iemands identiteit vaststellen ga door naar ‘ja’, zo nier naar ‘nee’. 
  3. Wanneer is iets geautomatiseerd? Wij omschrijven het als wanneer computers de verwerking overnemen zonder menselijk handelen. Worden gegevens verwerkt door (onder andere) computers ga door naar ‘ja’, is er sprake van totale menselijke verwerking naar ‘nee’.
  4. Dit vinden wij een zeer vage stap… Wat is de andere optie dan het niet op te nemen in een bestand? Wij denken dat Rijksoverheid hier doelt op gegevens opslaan of verwijderen. Sla je de gegevens op, ga door met ‘ja’ en wanneer je ze direct verwijderd ga door naar ‘nee’.
  5. Wat betekent ‘materiële toepassingsbereik’? Het materiële toepassingsbereik betreft de vraag waarop de Verordening van toepassing is. Wat zijn de uitzonderingen op het materiële toepassingsbereik van de Verordening? Een uitzondering voor verwerkingen is voor puur huishoudelijke doeleinden (lees: privédoeleinden). Daarnaast is op bepaalde activiteiten niet de Verordening, maar een andere wet van toepassing. Het verwerken van persoonsgegevens door de politie bij het opsporen van strafbare feiten is bijvoorbeeld uitgezonderd van de Verordening. Hierop is de Wet politiegegevens van toepassing. Dus, gebruik je de persoonsgegevens voor privédoeleinden of heb je de persoonsgegevens van een persoon die een strafbaar feit heeft gepleegd ga door naar ‘ja’ zo niet ga door naar ‘nee’.
  6. Wat betekent ‘territoriale toepassingsbereik’ van de Verordening? Het territoriale toepassingsbereik betreft de vraag waar de Verordening van toepassing is. Dat is binnen het grondgebied van de Europese Unie en in bepaalde situaties daarbuiten. Deze bepaalde situaties zijn de verwerkingen door lidstaten in het kader van het gemeenschappelijk buitenlands- en veiligheidsbeleid. Dan kunnen lidstaten persoonsgegevens uitwisselen met landen buiten de Europese Unie, om de veiligheid te waarborgen (denk aan terrorisme). Dit is voor organisaties niet van toepassing (het zijn namelijk geen lidstaten). Kortom, zijn de gegevens op bodem van de Europese Unie verzameld ga dan door naar ‘ja’ of daar buiten ga dan door naar ‘nee’.
  7.  Deze stap houdt in dat de wet van kracht is, maar dat er rekening gehouden moet worden in bepaalde situaties met de uitzonderingen van de Verordening (zie bij toepassingsbereik hierboven) en wetgeving van landen buiten de Europese Unie.
Hoe ga je nu praktisch aan de slag?

Weet je na al deze informatie even niet meer waar je moet beginnen?

  1. Doorloop het bovenstaande schema om te zien of de wet überhaupt op jouw organisatie van toepassing is.
  2. Breng in kaart wie de stakeholders zijn met betrekking tot gegevensverwerking binnen jouw organisatie.
  3. Breng samen met deze stakeholders alle data en databronnen in kaart.
  4. Classificeer de data. Waar komt de data vandaan? Wie gaan er met de data aan de slag? Waar staat de data opgeslagen? Dit moet per set persoonsgegevens. Dit is nodig, omdat de eigenaar van de persoonsgegevens (de Data Subject) altijd toegang moet kunnen krijgen tot zijn of haar data in jouw systeem. De eigenaar mag deze laten aanpassen, verwijderen of het gebruik ervan ‘on hold’ zetten.

Het lijkt een hoop werk, maar er zit ook een voordeel in. Nu je alles op orde en geclassificeerd hebt, kun je beter online marketing voeren. Je hebt een beter beeld bij jouw klanten dan ooit tevoren. Liever uit handen geven? Vul onderstaande formulier in en wij nemen het over:

Bekijk hier vlog over GDPR/AVG:
Petra de Niet

No Comments

Post a Comment