Bepaalde persoonsgegevens mogen standaard niet meer gevraagd of verwerkt worden. Het gaat dan om zaken als ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, biometrische en medische gegevens en seksueel gedrag of seksuele geaardheid. De gegevens mogen wel worden verwerkt als de gebruiker die zelf openbaar maakt: Instagram hoeft bijvoorbeeld geen foto’s te verwijderen waarop mensen hun religie of seksuele geaardheid openbaar maken.

Persoonsgegevens mogen uitsluitend worden verwerkt als de verwerking een rechtmatige grondslag heeft. Je moet bepalen welke rechtmatige grondslag voor de verwerking van toepassing is. Als je de gegevensverwerking niet kunt baseren op minimaal één van deze grondslagen heb je niet het recht om de persoonsgegevens te verwerken.

In AVG artikel 6, lid 1 worden 6 wettelijke grondslagen voor het verwerken van persoonsgegevens benoemd:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Je bent zelf verantwoordelijk om te beoordelen of je je voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.

Bijzondere en strafrechtelijke gegevens

Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij je voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

Persoonlijk gebruik

Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Verantwoordingsplicht

Zorg ervoor dat je goed kunt onderbouwen dat je de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.

Mensen hebben volgens de AVG het recht op inzage in de persoonsgegevens die bedrijven over hen hebben opgeslagen, en mogen eisen die data zelf digitaal te ontvangen.

Wilt u weten wat Albert Heijn allemaal over u verzameld heeft dankzij de AH Bonuskaart? Als de klant daar om vraagt, moet de supermarkt alle verzamelde data over de klant laten zien.

De AVG komt op veel punten overeen met zijn voorloper, de Wet bescherming persoonsgegevens (Wbp). In de praktijk moesten bedrijven in Nederland al aan veel van de privacyregels voldoen. Google laat zijn Nederlandse gebruikers bijvoorbeeld weten dat het bedrijf “niets verandert aan de manier waarop uw gegevens worden verwerkt.”

Een van de zaken die wel verandert, is dat de AVG bedrijven verplicht hun privacyverklaring in heldere taal te schrijven. Dat betekent dat de privacyverklaring vanaf 25 mei geschikt moet zijn voor de doelgroep, dat het duidelijk is welke gegevens een bedrijf verwerkt en dat de verklaring duidelijk leesbaar is.

Een organisatie mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene Verordening gegevensbescherming (AVG) kent 6 grondslagen.

Alleen als je de gegevensverwerking kunt baseren op minimaal één van deze grondslagen heb je het recht om de persoonsgegevens te verwerken.

Eén van die 6 grondslagen is ‘uitvoering van een overeenkomst’.

Je mag je op deze grondslag baseren als je een overeenkomst hebt met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

Soms heb je toestemming nodig

Let op dat je geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Doet je dat wel? Dan moet je daarvoor rechtsgeldige toestemming hebben gevraagd en gekregen of een andere grondslag kunnen toepassen.

Voorbeeld: als je online een product verkoopt, moet je adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Als je de persoonsgegevens daarnaast ook nog wilt gebruiken om het koopgedrag van iemand te analyseren moet je hiervoor rechtsgeldige toestemming hebben van de betrokken persoon.

Verantwoordingsplicht

Zijn de persoonsgegevens echt noodzakelijk voor de naleving van de overeenkomst met ieder betrokken individu? Zorg ervoor dat je goed kunt onderbouwen dat je je op deze grondslag mag baseren. Onder de AVG heb je namelijk een verantwoordingsplicht.

Een organisatie mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene Verordening gegevensbescherming (AVG) kent 6 grondslagen.

Alleen als je de gegevensverwerking kunt baseren op minimaal één van deze grondslagen heb je het recht om de persoonsgegevens te verwerken.

Eén van die 6 grondslagen is ‘toestemming’. De AVG schrijft niet precies voor in welke vorm je toestemming moet vragen. Maar de manier waarop je toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.

  • Vrijelijk gegeven: je mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
  • Geïnformeerd: je moet mensen informeren over:
    1) de identiteit van de organisatie;
    2) het doel van elke verwerking waarvoor je toestemming vraagt;
    3) welke persoonsgegevens je verzamelt en gebruikt;
    4) het recht dat zij hebben om de toestemming weer in te trekken. Je moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat je duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien de organisatie bij de verwerking meerdere doeleinden heeft, dient de betrokkene hierover geinformeerd te worden. En de betrokkene moet voor elk doel afzonderlijk toestemming gevraagd worden. Het doel mag niet gaandeweg veranderen.
  • Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
  • Je moet kunnen aantonen dat je geldige toestemming hebt verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. Je mag de persoonsgegevens dan niet verwerken.

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

Verantwoordingsplicht

Als je je wilt baseren op de grondslag toestemming moet je er voor zorgen dat je kunt aantonen dat je die toestemming op de juiste manier hebt gevraagd en gekregen. Onder de AVG heb je namelijk een verantwoordingsplicht.

“Zeggen dat je het recht op privacy niet belangrijk vindt omdat jij niets te verbergen hebt, is niet anders dan zeggen dat je vrije meningsuiting niet belangrijk vindt, omdat je niets te zeggen hebt.” (bron: Edward Snowden)

Inschrijfformulieren mogen niet meer met standaard aangevinkte hokjes worden aangeboden, bijvoorbeeld het hokje ‘Ja ik wil op de hoogte gehouden worden van nieuwe producten’. Dat ‘trucje’ gebruikten bedrijven jarenlang om reclame naar klanten te sturen, die daar nooit om hebben gevraagd. Nadrukkelijke toestemming van de gebruiker is onder de nieuwe wet vereist.

Mensen hebben volgens de AVG voortaan het ‘recht op vergetelheid’. In gewone taal: het recht om vergeten te worden.

Als u niet wilt dat bijvoorbeeld negatieve of beschamende informatie over u op een sociaal netwerk terug te vinden is, kunt u verzoeken die data te verwijderen.

Een bedrijf hoeft niet altijd aan uw eis om informatie over u te verwijderen te voldoen: zo mag een nieuwssite bijvoorbeeld nog steeds een negatief verhaal over iemand met naam en toenaam brengen, zolang dat bericht maar klopt. Het recht op persvrijheid in de Grondwet is sterker dan de AVG.

Foto’s en berichten die door minderjarigen zijn geplaatst, moeten op verzoek wel altijd worden verwijderd.

De AVG geldt niet alleen voor grote technologiebedrijven zoals Google, Facebook en andere sociale media, maar ook voor kleine organisaties. Ieder bedrijf dat in Europa persoonsgegevens verwerkt, moet kunnen verantwoorden welke gegevens het verzamelt en voor welk doel. Onder persoonsgegevens valt alle informatie die herleidbaar is naar een persoon, zoals naam, adres, e-mailadres en telefoonnummer.

Nee, bedrijven mogen in veel gevallen ook persoonsgegevens verzamelen en verwerken zonder dat een gebruiker daarvoor toestemming geeft. Toestemming is bijvoorbeeld niet nodig als de persoonsgegevens nodig zijn om de dienst te leveren waar je als gebruiker om vraagt.

Nee, het versturen van een e-mail om gebruikers te wijzen op een aangepaste privacybeleid is in veel gevallen niet nodig.

Op zich is het netjes dat bedrijven per e-mail aangeven dat ze hun privacyverklaring hebben aangepast, maar ze hoeven daarvoor niet per se een e-mail te versturen.

Als er geen grote wijzigingen hebben plaatsgevonden, volstaat een melding op de website ook.

Veel bedrijven zijn onzeker over de uitleg van de AVG-regels en versturen daarom voor de zekerheid een mail met uitleg over hun privacybeleid.

Aan de andere kant willen veel bedrijven laten zien dat ze zorgvuldig om gaan met persoonsgegevens.

Daarnaast zijn er veel bedrijven e-mails over hun privacybeleid versturen omdat ze zien dat andere bedrijven dat ook doen.

Qua marketing is het niet handig om uit voorzorg of voor de goede sier klanten hernieuwd om toestemming te vragen, als dat niet echt nodig is. Bedrijven die hun contacten onnodig mailen met de vraag of ze dat mogen blijven doen, lopen het risico dat het antwoord nee is. Als een gebruiker het mailtje negeert of verwijdert, mag het bedrijf die persoon na 25 mei niet meer benaderen.

Als een bedrijf voor de AVG al voldeed aan de eisen om e-mail te mogen sturen, mogen ze daar vanaf 25 mei gewoon mee doorgaan zonder gebruikers daarvan op de hoogte te stellen of opnieuw om toestemming te vragen.

Bedrijven die al voldeden aan de bestaande wet en gebruikers niet opnieuw om toestemming vragen, mogen ook na 25 mei gewoon e-mails blijven sturen.

 

Ja, ook als je je niet specifiek hebt aangemeld voor bijvoorbeeld een nieuwsbrief, mogen bedrijven je in sommige gevallen een e-mail sturen. Een bedrijf mag bestaande klanten berichten sturen over producten die te maken hebben met wat ze eerder hebt gekocht.

Het gaat er niet om of je wel of niet iets te verbergen hebt, het gaat er ook niet om of de overheid of bedrijven wel of niet te vertrouwen zijn. Het gaat wel om jouw vrijheid. Mensen die weten dat ze misschien bekeken worden, gedragen zich anders dan mensen die weten dat ze niet bekeken worden. Dit conformeren naar gewenst gedrag, beperkt de vrije ontwikkeling van ideeën en ondermijnt daarmee de vrije samenleving. (bron: Bits of Freedom)

“Jouw gegevens zijn voor anderen vaak veel waard, die ga je toch niet zomaar gratis weggeven? De vraag is daarom niet of je iets te verbergen hebt, maar waarom anderen het van je willen weten. Waarvoor willen ze je gegevens gebruiken? Doen ze dat altijd in jouw belang? En zijn zij daar eigenlijk eerlijk en transparant over?” (bron: Bits of Freedom)

Load More