In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp). De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens.

Hun privacyrechten worden namelijk versterkt en uitgebreid.

In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten. Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk gelegd op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

u hoeft verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;
u kunt verplicht zijn een Data protection impact assessment (DPIA) uit te voeren;
u kunt verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.

Ja. Tot 25 mei 2018 moet u zich nog aan de Wet bescherming persoonsgegevens (Wbp) houden. De AVG is al in werking getreden, maar geldt nu nog niet. In de overgangsperiode tussen Wbp en AVG kunt u voorbereidingen treffen om per 25 mei 2018 aan de AVG te voldoen.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Ja, net als nu mag u straks onder de AVG een gast of organisatie bellen of post sturen met een aanbod zonder dat u daarvoor toestemming heeft. Maar let op!: als u een aanbod verstuurt via een digitaal kanaal, zoals e-mail, fax of sms, heeft u wel voorafgaande toestemming nodig.

Onder de nieuwe regels houden gasten het recht om bezwaar te maken tegen klassieke direct marketing. En het recht om hun toestemming in te trekken als het gaat om digitale kanalen. U moet gasten in beide gevallen wel duidelijker informeren. Dit geldt zowel voor commerciële, ideële als charitatieve direct marketing.

Duidelijke informatie

Onder de AVG moet u gasten van uw aanbod bij het eerste contact goed informeren over het doel waarvoor u gegevens verwerkt en met welke organisaties u de gegevens eventueel deelt.

Wilt u de persoonsgegevens gebruiken of verkopen voor marketingdoeleinden? Dan moet u de gasten daar heel duidelijk over informeren. U mag dat niet verstoppen in de kleine lettertjes.

U moet de gasten ook duidelijk informeren over het recht van bezwaar. Dat betekent dat u klanten bij het eerste contact de mogelijkheid moet bieden om zich af te melden voor direct marketing. Het afmelden moet gratis zijn en net zo makkelijk als de manier waarop iemand zich kan aanmelden.

Recht van bezwaar

Het recht van bezwaar houdt in dat iemand aan kan geven dat u zijn of haar gegevens niet meer mag verwerken voor direct marketing. Daarnaast zijn er algemene afmeldmogelijkheden. Zoals het Bel-Me-Niet register, het Postfilter of een NEE-sticker op de brievenbus.

Als iemand zich heeft afgemeld, moet u zich daaraan houden. Biedt u telefonisch iets aan? Dan moet u tijdens het telefoongesprek wijzen op de afmeldmogelijkheden. U moet mensen ook de mogelijkheid bieden zich daarvoor in te schrijven.

Verschillende regels voor reclamepost en digitale reclame

Er gelden verschillende regels voor reclamepost en digitale reclame om mensen en organisaties te beschermen tegen te veel reclame. Wanneer u als bedrijf bijvoorbeeld een folder verspreidt, dan kost u dat geld. Een e-mail is gratis, waardoor u onbeperkt e-mails kunt sturen. Als alle organisaties dat zouden doen, dan maken zij deze communicatiekanalen onbruikbaar voor mensen en organisaties.

Als het gaat om digitale reclame, geldt er wel een uitzondering voor bestaande klanten. Die mag u wel blijven benaderen. Zolang u maar duidelijk in elk contact aangeeft hoe iemand zich weer kan afmelden.

Ja. Zodra de Algemene verordening gegevensbescherming (AVG) geldt, bent u nog steeds verplicht om te loggen wie toegang heeft gehad tot de persoonsgegevens die uw organisatie verwerkt.

De AVG is per 25 mei 2018 van toepassing. Dat betekent dat u vanaf die dag aan de nieuwe privacyregels moet voldoen. Daarom zijn veel organisaties zich nu aan het voorbereiden.

De Autoriteit Persoonsgegevens heeft 10 stappen opgesteld die u op weg helpen met de voorbereiding op de nieuwe Europese regels.

Die 10 stappen ter voorbereiding kunt u HIER downloaden.

  • Het begrip persoonsgegevens is uitgebreid met online indicators die te herleiden zijn naar natuurlijke personen.
  • Er geldt een registratieplicht voor alle verwerkingen van persoonsgegevens. Bij elke verwerking is actieve toestemming van de betrokkenen verplicht.
  • Er zijn rechten toegevoegd, zoals het recht op vergetelheid (wissen van gegevens op verzoek) en op dataportabiliteit (geregistreerde gegevens ontvangen). En het recht om de verwerkingen te beperken, en om bezwaar te maken tegen verwerkingen.
  • Je moet kunnen aantonen dat jouw organisatie zich aan alle regels houdt. Daardoor moeten er meer handelingen, communicatie en mutaties in systemen gereistreerd worden.
  • Externe verwerkers zijn medeaansprakelijk.
  • In sommige gevallen is een Privacy Impact Assessment verplicht.
  • Het aanstellen van een Functionaris Gegevensverwerking is gewenst. Voor overheden en publieke organisaties is het verplicht.
  • Training van medewerkers is niet verplicht, maar bewustwording (awareness) en training zijn onontbeerlijk om compliancy te waarborgen.
  • Boetes bij overtredingen worden veel hoger.

Je kunt technisch alles goed hebben geregeld, maar er blijven in de hospitality veel counterfuncties en menselijke interacties tussen gasten en medewerkers bestaan. En medewerkers verwerken gevoelige persoonsgegevens in jouw processystemen. Zijn je medewerkers goed voorbereid op de AVG? Weten ze wat wel en niet mag?

Voor deze ingrijpende privacywetgeving is bij veel organisaties een cultuuromslag nodig. Dat is meestal complexer en tijdrovender dan aanpassing van de techniek. Ingesleten gewoonten en gedrag zijn moeilijk te veranderen. De inspanningsverplichting en verantwoordelijkheid van organisaties wordt veel groter ten opzichte van de WBP. Consumenten krijgen ook meer rechten die organisaties op hun verzoek moeten respecteren. Medewerkers moeten worden herhaaldelijk worden getraind.

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Denk hierbij aan een naam of foto, maar ook aan bijvoorbeeld een e-mailadres, IP-adres of cookie-ID. Ook gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens, omdat het nog steeds mogelijk is die persoon te identificeren (ook al moet je er bijvoorbeeld meerdere databases van verschillende partijen voor combineren). Bij gepseudonimiseerde persoonsgegevens kun je denken aan een gehasht IP-adres. Naast gewone persoonsgegevens bestaan er ook nog bijzondere persoonsgegevens. Dit zijn gegevens die iets zeggen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke of hinderlijke activiteiten. De verwerking van deze gegevens is aan extra regels gebonden.

Daar heb je een rechtmatige grondslag voor nodig. Er zijn verschillende grondslagen waarop je persoonsgegevens mag verwerken, zoals de noodzaak voor de uitvoering van een overeenkomst, een wettelijke plicht, toestemming en gerechtvaardigd belang. Met name toestemming is een belangrijke grondslag voor (direct) marketing onder de GDPR:  

  • Toestemming: rechtsgeldige toestemming onder de GDPR moet zijn: een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting’. Dit betekent dat toestemming een duidelijke actieve handeling moet zijn (bijvoorbeeld het aanvinken van een checkbox), dat er geen sprake mag zijn van dwang (bijvoorbeeld het accepteren van een nieuwsbrief mag geen voorwaarde zijn voor het plaatsen van een bestelling) en ook dat je toestemmingsvraag voldoende specifiek moet zijn zodat mensen precies weten waarvoor ze toestemming geven en wat ze dus van je kunnen verwachten (bijvoorbeeld het toesturen van één keer per week een nieuwsbrief per e-mail over nieuwe aanbiedingen). Daarnaast moet je voldoende informatie geven over wat je met de door jou verzamelde persoonsgegevens doet (om deze reden verwijs je bij een toestemmingsvraag altijd naar het Privacybeleid).

 

Buiten deze vereisten, geldt ten aanzien van de grondslag “toestemming” nog dat een betrokkene de eenmaal gegeven toestemming altijd mag intrekken en dat dit intrekken net zo makkelijk moet zijn als het geven ervan. Hiervoor moet je dus een afmeldmogelijkheid in elk commercieel bericht aanbieden. Daarnaast moet je als verantwoordelijke achteraf kunnen bewijzen dat je de toestemming hebt ontvangen.

In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

Verplichte maatregelen

De verplichte maatregelen die de AVG concreet noemt zijn:

  • het bijhouden van een register van verwerkingsactiviteiten; 
  • het uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico;
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft.
  • wanneer onduidelijk is of u verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.

Meer informatie over deze verplichtingen vindt u in ons AVG-dossier en in de AVG zelf.

Extra maatregelen

Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

  • het aansluiten bij een gedragscode;
  • het behalen van een bepaald certificaat;
  • het hanteren van een specifiek ICT-beveiligingsbeleid;
  • het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.


Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.