020 2 141 009

De meestgestelde vragen (en antwoorden) over de nieuwe privacywet

Op de website van Autoriteit Persoonsgegevens (AP) kun je een PDF-bestand downloaden met alle nieuwe regels, richtlijnen én sancties die gepaard gaan met de nieuwe privacywet AVG/GDPR. Maar laten we er maar geen doekjes om winden: het is nogal een complexe aangelegenheid en de tijd dringt. Want wie op 25 mei niet voldoet aan de eisen van AVG/GDPR riskeert een boete die niet mals is. We zetten daarom de meest gestelde vragen en antwoorden over de nieuwe privacywet voor je op een rij en laten bij de uitleg alle vaktermen achterwege. Wel zo fijn.

Nog even kort over de nieuwe wet:

Over een kleine anderhalve maand, op 25 mei, treedt de nieuwe privacywet in werking. De wet, die schuil gaat onder de Nederlandse afkorting AVG (de Algemene Verordening Gegevensbescherming) en de Europese GDPR (General Data Protection Regulation), focust zich vooral op het beschermen van persoonsgegevens en legt daarbij de verantwoordelijkheid én bewijslast bij de bedrijven neer (ja, ook ZZP’ers worden in dit geval als bedrijf gezien). Hier leggen we uit wat er precies gaat veranderen.

De meest gestelde vragen en antwoorden over de nieuwe privacywet:

1. Waarom komt er een nieuwe privacywet?

De huidige wet is verouderd. Door de online ontwikkelingen van de afgelopen jaren kan de vorige wet, de wet bescherming persoonsgegevens (Wbp), er niet voor zorgen dat onze gegevens volledig worden beschermd. Daarom gaat die op de schop en krijgen we er een nieuwe voor in de plaats.. Deze nieuwe wet geldt niet alleen voor Nederland, maar voor de gehele Europese Unie.

2. Wat zijn persoonsgegevens?

Aangezien de privacywet zich vooral focust persoonsgegevens, is het goed om te weten wat er eigenlijk precies wordt bedoeld met dit begrip:

Alle gegevens waarmee je iemand kunt identificeren vallen onder ‘persoonsgegevens’. Van directe gegevens, zoals iemands naam, adres en woonplaats tot de informatie die indirect kan leiden naar een persoon. Bijvoorbeeld een telefoonnummer, een e-mailadres en als het om iemand gaat met eenmanszaak, dan valt zelfs het KvK-nummer onder persoonsgegevens. Maar we spreken alleen van persoonsgegevens als we het hebben over een ‘natuurlijke’ persoon zoals jij en ik. Gegevens van bedrijven, andere organisaties of overleden personen vallen hier niet onder.

3. Mag ik persoonsgegevens wel blijven verzamelen?

Dat mag, alleen zorgt de nieuwe wet er wel voor dat je alleen gegevens mag verzamelen als je daar een specifiek doel voor hebt en dan mag je ze ook echt alleen gebruiken voor dat specifieke doel. Heb je bijvoorbeeld persoonsgegevens van iemand binnengehaald voor je lijst omtrent e-mailmarketing en wil je dezelfde gegevens gebruiken om onderzoek te doen naar jouw klanten? Dan moet je volgens de nieuwe wet opnieuw toestemming vragen aan de persoon in kwestie.

Nieuwe privacyregels

4. Hoe zit het met het verwerken van persoonsgegevens?

De AVG/GDPR kent zes grondslagen voor het verwerken van persoonsgegevens. Alleen als je je in een van de volgende situaties bevindt, mag je persoonsgegevens verwerken.

1. Bij toestemming van de betrokken persoon

Dit punt lijkt geen toelichting nodig te hebben, maar we willen toch één ding benoemen. Let er op dat áls je toestemming vraagt voor de gegevens van een persoon, je dit op de juiste manier doet.  Volgens de nieuwe wet moet die toestemming namelijk op een actieve en transparante manier zijn verkregen. Hier leggen we uit hoe je dat doet.

2. Wanneer de persoonsgegevens noodzakelijk zijn voor het uitvoeren van een overeenkomst

Denk bijvoorbeeld aan een koopovereenkomst: als je online iets bestelt dan is er een adres nodig om het op te sturen. Of wanneer je eten bestelt. Wel zo handig als ze het dan kunnen bezorgen bij de juiste voordeur.

3. Als de persoonsgegevens essentieel zijn voor het nakomen van een wettelijke verplichting

Zoals facturen van klanten. Hierop staan persoonsgegevens, maar de Belastingdienst wil dat je deze bewaart. Je bewaart die gegevens dus om je wettelijke verplichting na te komen. Dat mag. Of sterker nog: dat moet.

4. Bij de nood om vitale belangen te beschermen

Dit punt zal vooral voorkomen bij medische instanties. Een ziekenhuis hoeft bijvoorbeeld bij een spoedsituatie niet eerst om toestemming te vragen als het jouw gegevens nodig heeft om je verder te helpen.

5. Wanneer de gegevens noodzakelijk zijn voor de behartiging van gerechtvaardigde belangen

Deze grondslag verdient extra aandacht, aangezien het nogal subjectief is verwoord. De meningen kunnen immers nogal verschillen als er wordt bepaald of een belang gerechtvaardigd kan worden. Het is daarom goed om van te voren de verschillende belangen goed af te weten. Want wegen de belangen van het bedrijf om de persoonsgegevens te gebruiken op tegen de privacybelangen van de betrokkene?

6. Als de persoonsgegevens nodig zijn om een taak van algemeen belang of uitoefening van openbaar gezag

Wil je je op deze grondslag beroepen? Dan moet je kunnen bewijzen dat jouw bedrijf een publieke taak uitoefent voor het algemeen belang of voor het openbare gezag. Let er wel op dat dit schriftelijk is vastgelegd om vervelende sancties te voorkomen. En over sancties gesproken…

6. Wat gebeurt er als ik me niet houd aan de nieuwe regels?

Deze vraag mag natuurlijk niet ontbreken in de lijst met meestgestelde vragen en antwoorden over de nieuw privacywet. We willen natuurlijk óók weten wat de gevolgen zijn als we een keer de fout in gaan. Het korte antwoord: dan krijg je een boete.

Het langere antwoord: De voorzitter van de AP, Aleid Wolfsen, heeft laten weten dat er streng zal worden opgetreden tegen bedrijven (dus ook tegen ZZP’ers) als zij zich niet houden aan de regels.

Er zijn twee soorten boetes: een voor als de zwaardere verplichtingen worden overtreden en een voor als de wat minder zwaardere regels van de de nieuwe privacywet worden overtreden. Houdt een bedrijf zich bijvoorbeeld niet aan de basisregels van de AVG/GDPR, zoals het vragen om toestemming? Dan volgt er een zware sanctie en kan er een boete van maximaal 20 miljoen worden opgelegd of 4 procent van de jaaromzet. Wordt er een minder zware overtreding gemaakt, dan volgt er een boete van maximaal 10 miljoen euro of 2 procent van de jaaromzet.

Naast dat je natuurlijk wil je dat je bedrijf vertrouwelijk omgaat met de gegevens van klanten en bezoekers, lijken de sancties een extra stok achter de deur om alles tot in de puntjes op orde te krijgen, vóór 25 mei.

Wil je nog meer weten over AVG/GDPR of andere artikelen over online vindbaar lezen? Dat kan op onze blog.

Kom je er toch niet helemaal uit en heb je hulp nodig? Dat kan. Neem dan telefonisch contact met ons op of stuur ons een e-mail.