Serie over optimalisatie van de AVG binnen je bedrijf

Vroeger had iedere lidstaat in de Europese Unie (EU) zijn eigen regels over de verwerking, beheer en de bescherming van persoonsgegevens van haar burgers. In 2018 trad de General Data Protection Regulation (DGPR) in werking. De Nederlandse benaming is Algemene Verordening Gegevensbeheer. In dit blog zal ik voornamelijk de afkorting AVG gebruiken.

Jaarlijks op 28 januari is het de ‘Europese dag van de Privacy’. Deze dag heeft als doel om iedere Europese burger te informeren over hun rechten bij het gebruik van hun persoonsgegevens. Daarnaast moeten bedrijven en overheden zich bewust zijn van een betere bescherming van persoonsgegevens. In dit blog zal ik de volgende vraag beantwoorden: welke persoonsgegevens mag een ondernemer volgens de Algemene Verordening Gegevensbeheer (AVG) verwerken?  

Kennis delen over AVG

Via de site www.frankwatching.nl volgde ik een webinar over de AVG-DGPR. De webinar werd gegeven door mr. Charlotte Meindersma, jurist intellectuele eigendom en social media. 

Wat bedoelen we met persoonsgegevens?

Persoonsgegevens geven informatie over een natuurlijk persoon van vlees en bloed die makkelijk kan worden geïdentificeerd door:

  • Voornaam en achternaam,
  • geboortedatum,
  • burgerservicenummer (BSN nummer),
  • woonplaats, 
  • een IP-adres en e-mailadressen,
  • pasfoto.
Biologische gegevens zijn kenmerkend voor het individu. Vingerafdrukken en irissen. Deze gegevens mogen alleen onder strikte voorwaarden worden bewaard.

Wat zijn biologische persoonsgegevens? Mag ik deze ook verwerken?

Er zijn persoonsgegevens die kenmerkend zijn voor het individu. Ter illustratie: vingerafdrukken en de iris in het oog zijn unieke kenmerken. Er zijn namelijk geen twee mensen met dezelfde vingerafdrukken of irissen. Zelfs niet bij identieke tweelingen.Behalve de vingerafdruk en de iris zijn er meer biologische kenmerken van een individu. Namelijk fysiologische gegevens. Anders gezegd, de kennis van de werking van een lichaam. En jouw DNA. Maar ook psychische gegevens vallen hieronder.Biologische gegevens mogen alleen onder strikte voorwaarden worden bewaard.

Bijzondere persoonsgegevens mogen niet worden verwerkt.

Zijn er ook persoonsgegevens die ik niet mag verwerken?

Ja, persoonsgegevens die zo in de privésfeer van het individu liggen dat zij niet verwerkt mogen worden. We spreken dan over bijzondere persoonsgegevens. Je moet dan denken aan: 

  • de etnische afkomst van een persoon.
  • Het seksueel gedrag of seksuele geaardheid.
  • De politieke opvattingen of een lidmaatschap van een politieke partij.
  • Religieuze of levensbeschouwelijke overtuigingen.
  • Ten slotte hoort ook het lidmaatschap van een vakbond tot de bijzondere persoonsgegevens.

Als je reclame maakt doe je dit niet voor individuen maar voor een bepaalde doelgroep. Voor het marketingonderzoek heb je bepaalde gegevens nodig. Zoals ‘waar kan ik deze doelgroep vinden? Wat is het inkomen en uitgavenpatroon van de doelgroep? Welke culturele achtergrond hebben de consumenten uit de doelgroep?’ Soms wil je ook het opleidingsniveau weten van de consument. Heb jij een winkel in sportkleding? Dan is het handig om te weten in welk gedeelte van de doelgroep de sportfanaten zich bevinden

Ik wil de persoonsgegevens van mijn klant gebruiken, waar moet ik op letten?

Er zijn verschillende redenen te bedenken waarom je persoonsgegevens van de klant nodig hebt. De AVG spreekt niet over redenen, maar over doelbinding.

Uitleg doelbinding 

Stel, je hebt een webshop. Om de producten bij de klant te krijgen, heb jij zijn adresgegevens nodig. Echter, bij het versturen van het product ontstaan leveringsproblemen. Jouw klant moet dit weten. Daarom is het handig als jij ook zijn telefoonnummer en/of e-mailadres tot je beschikking hebt. 

Al deze gegevens heb jij gewoon nodig om zaken te doen. In contacten met je klant gebruik je voornamelijk alleen zijn naam, (bedrijfs)adres, telefoonnummers en e-mailadres.  

Volgens de AVG mag je de persoonsgegevens niet voor meerdere doelen tegelijk gebruiken. 

Uitleg over het minimaal gebruik van persoonsgegevens

Hoe minder persoonsgegevens je vraagt, hoe beter. Vraag dus alleen het hoognodige. Bovendien schrijft de AVG voor dat voor elk nieuw doel de klant apart toestemming moet geven voor verwerking.

Je mag dus niet zomaar alle gegevens voor elk doel gebruiken. Anders gezegd:  bijvoorbeeld bij een inschrijving van je nieuwsbrief vraag jij naast de naam en e-mailadres ook het telefoonnummer van de klant. Want in de toekomst wil je deze klant misschien telefonisch op de hoogte brengen van een leuke aanbieding. De AVG zegt dat jij de klant niet zomaar mag bellen zonder dat hij op de hoogte is van het doel van het geven van zijn telefoonnummer. Zet dan bij de inschrijving: ‘wanneer u zich inschrijft voor de nieuwsbrief, kunt u door ons ook telefonisch worden benaderd. 

Het doel moet ook aan drie eisen voldoen.

Welke drie eisen zijn er?

  1. Welbepaald. Vooraf beschrijf je duidelijk alle doelen waarvoor jij gegevens wilt verwerken. Wees duidelijk, gebruik dus geen algemene termen zoals bedrijfs – of marketingdoeleinden. 
  2. Verenigbaar. Vervolgens beschrijf je welke gegevens je voor welk doel gebruikt. Met de bedoeling de klant op de hoogte te brengen waarvoor jij zijn gegevens moet hebben.‘Ik gebruik voor doel A die en die gegevens. Terwijl ik voor doel B deze gegevens ga gebruiken’.  
  3. Gerechtvaardigd. Kan ik mijn doelen wel verantwoorden? Is het echt nodig om gegevens A en B te hebben? Mis ik als ondernemer echt iets, wanneer ik dit niet heb? 

Ik wil dat mijn klant goed op de hoogte is waarvoor ik welke persoonsgegevens nodig heb. Hoe kan ik dit aan de klant laten weten?

De doelen en welke persoonsgegevens jij hiervoor nodig hebt, zet je in de privacyverklaring. De verklaring zet je vervolgens goed zichtbaar op je website. De beste plek is onderaan je homepage in de zogeheten footer. De medewerkers van de Blauwe Krokodil kunnen je hierover adviseren. 

Pluk geen privacyverklaring van het internet, maar schrijf hem zelf. Vraag desnoods hulp van een gespecialiseerde jurist. Hoewel het een investering is, weet je zeker dat het allemaal goed zit.

Belangrijke regel: houdt de persoonsgegevens actueel

Hoewel dit een open deur is, wil ik dit toch nadrukkelijk op het hart drukken. Controleer regelmatig of de gegevens actueel zijn. Verwerk zo snel mogelijk wijzigingen in je bestand. Verwijder daarnaast de gegevens die je niet meer nodig hebt.

Recht op vergetelheid

Een klant heeft altijd het recht tot het indienen van een verzoek om verwijdering van zijn persoonsgegevens. Krijg je zo’n verzoek binnen? Handel dan direct. Wil een klant geen nieuwsbrief meer ontvangen? Haal hem dan zo snel mogelijk van de verzendlijst. De AVG zegt dat de klant telkens de mogelijkheid moet krijgen om zich af te kunnen melden.  Zodoende zie je altijd onderaan elke nieuwsbrief een mogelijkheid staan, hiermee kan de klant zich makkelijk afmelden.

Wat is de rol van de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens (AG) houdt toezicht op de verwerking, de bescherming en beveiliging van onze persoonsgegevens. Zij komt in actie wanneer iemand een klacht indient van een vermoeden van onterecht gebruik van persoonsgegevens. Indien de klacht gegrond is, kan de AG een boete opleggen. Deze boete is niet mals, namelijk zo’n 4% van je jaaromzet. Vroeger moest je alle persoonsgegevens bij de AG aanmelden. Sinds de invoering van de AVG hoeft dit niet meer. De bijzondere persoonsgegevens moeten wel worden aangemeld. 

Bronnen: Autoriteit Persoonsgegevens en AGconnect.nl  Afbeeldingen: Pixabay

Voldoet je website nog?

Eisen voor moderne websites veranderen constant. En je moet natuurlijk voldoen aan de nieuwe privacywetgeving. Bel of mail voor eerlijk advies: laat je verrassen! Ga naar onze contactpagina.