fbpx
Skip links
Boek een Demo
Inloggen
Nexxtmove

Nieuwe privacywetgeving AVG

Author
Published on:
Published in: Blog

25 mei, de datum voor de nieuwe privacywetgeving, nadert met rasse schreden. Als makelaar moet je het verwerken van persoonsgegevens dan op orde hebben. Van een aantal klanten hebben wij al wat vragen ontvangen, tijd om het één en ander op te helderen.

Wat is de Algemene Verordening Gegevensbescherming?

De AVG (de internationale naam is GDPR – General Data Protection Regulation) is de nieuwe Europese privacywet die in alle landen van de EU van toepassing is vanaf 25 mei 2018. Deze wet vervangt de huidige Wet bescherming persoonsgegevens (Wpb). Gevolg is dat marketeers onder de nieuwe wet zorgvuldiger moeten omgaan met persoonsgegevens, zowel in de B2C als in de B2B sector.

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

De vijf verantwoordelijkheden van de AVG

  • Transparantie: voor de betrokkene moet het duidelijk zijn dat zijn gegevens verwerkt worden, welke gegevens verwerkt worden, hoe en door wie de gegevens verwerkt worden, of er sprake is van profilering en wat zijn rechten zijn.
  • Doelbinding: de gegevens mogen alleen verwerkt worden voor een welbepaald, van tevoren omschreven doel.
  • Dataminimalisatie: er mogen alleen gegevens verwerkt worden die nodig zijn voor dat doel.
  • Beveiliging en opslagbeperking: de gegevens moeten passend worden beveiligd, hoe gevoeliger de persoonsgegevens zijn, hoe hoger het beveiligingsniveau moet zijn.
  • Privacy by design & default: privacy by design houdt in dat je al bij de ontwikkeling van je producten en diensten vastlegt hoe er met persoonsgegevens binnen je organisatie wordt omgegaan. Privacy by default houdt in dat je standaard uit moet gaan van de meest privacyvriendelijke settings (bij bijv. apps, de algemene voorwaarden en privacy statement).

Wanneer is het toegestaan persoonsgegevens te verwerken?

De AVG staat in drie situaties toe dat er door organisaties persoonsgegevens verwerkt worden:

  • Overeenkomst: de gegevens die nodig zijn om een overeenkomst uit te voeren mogen vastgelegd worden.
  • Gerechtvaardigd belang: het blijft toegestaan om voor marketingdoeleinden gegevens te verwerken, zolang het marketing belang opweegt tegen het privacybelang van betrokkenen (privacytoets). Het verwerken van gegevens voor marketingdoeleinden en de manier waarop dit gedaan wordt moet in je privacy statement opgenomen zijn.
  • Toestemming: in alle overige gevallen van het verwerken van persoonsgegevens is toestemming nodig. Die toestemming moet door middel van een vrije, specifieke en ondubbelzinnige wilsuiting gegeven zijn. Nieuw is het aspect ‘ondubbelzinnig’.

De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG. Deze kan boetes opleggen tot maximaal €20 miljoen of 4% van de jaaromzet (welke van de twee meer is).

Welke gevolgen heeft de AVG voor e-mailmarketing?

Er is nog steeds in dezelfde gevallen opt-in nodig. Het is dus nog steeds verboden om zonder voorafgaande toestemming nieuwsbrieven te sturen die van commerciële, charitatieve of ideële aard zijn. Dit is vastgelegd in de Telecommunicatiewet.

De AVG regelt de manier waarop de toestemming gegeven moet worden:

  • Vrijelijk gegeven: je mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
  • Geïnformeerd: je moet mensen informeren over:
  • de identiteit van de organisatie;
  • het doel van elke verwerking waarvoor je toestemming vraagt;
  • welke persoonsgegevens je verzamelt en gebruikt;
  • het recht dat de betrokkene heeft om de toestemming weer in te trekken. Je moet de informatie in een toegankelijke vorm aanbieden. Dat betekent dat je duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien je als organisatie bij de verwerking meerdere doeleinden hebt, dien je de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.
    Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
    Je moet kunnen aantonen dat je geldige toestemming hebt verkregen.

De bewijslast voor opt-in wordt aangescherpt

De eerste drie elementen van toestemming geven gelden ook nu al. De eis van ondubbelzinnigheid is nieuw. Dat betekent een verzwaring van de bewijslast en daarmee van de manier waarop de opt-in vastgelegd wordt.

Je moet als organisatie kunnen bewijzen:

  • dat de toestemming daadwerkelijk gegeven is;
  • dat de toestemming op een vrije manier gegeven is;
  • voor het toesturen van welk soort informatie de toestemming gegeven is;
  • dat de tekst bij het geven van de toestemming voldoende informatie bevat.

Dit zijn dan ook de elementen die vastgelegd moeten worden als een prospect of andere geïnteresseerde een opt-in voor e-mail geeft. Belangrijk is dat je voor 25 mei 2018 nagaat of jouw makelaarskantoor aan de opt-in registratie eisen voldoet. Als de oude opt-ins volgens de eisen van de AVG te bewijzen zijn, hoef je niet opnieuw om toestemming te vragen. Heb je onvoldoende vastgelegd en kun je niet alle hierboven genoemde vier elementen bewijzen, dan is opnieuw vragen om toestemming vereist.

Concreet: de AVG-privacyrechten

Het recht op dataportabiliteit

In de AVG heet dit het ‘recht om gegevens over te dragen’. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.

Het recht op vergetelheid

Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Uiteraard zijn er uitzonderingen op deze regel, deze heeft de Autoriteit Persoonsgegevens helder in kaart gebracht.

Recht op inzage

Mensen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat zij een organisatie mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en begrijpelijke manier op de hoogte brengen van deze gegevens. Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje? Dan vallen deze aantekeningen niet onder het inzagerecht. Maar slaat de organisatie de aantekeningen vervolgens op in een dossier of verstrekt de organisatie deze aan anderen? Dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.

Recht op rectificatie en aanvulling

Je bent er verantwoordelijk voor dat de persoonsgegevens die je verwerkt juist zijn. En dat je deze gegevens actualiseert als dat nodig is. Zijn persoonsgegevens, gelet op de doeleinden waarvoor je die verwerkt, onjuist? Dan ben je verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand je erop wijst dat zijn gegevens niet kloppen of onvolledig zijn.

Het recht op beperking van de verwerking

De AVG geeft mensen in bepaalde situaties het recht op beperking van het gebruik van hun gegevens. Bijvoorbeeld als de gegevens mogelijk onjuist zijn, de verwerking onrechtmatig is, de gegevens niet meer nodig zijn of de betrokkene bezwaar maakt.

Het recht met betrekking tot geautomatiseerde besluitvorming en profilering

Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. Dit gebeurt bijvoorbeeld bij profilering. De Algemene Verordening Gegevensbescherming (AVG) geeft mensen recht op een menselijke blik bij besluiten die over hen gaan. Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.

Het recht om bezwaar te maken tegen de gegevensverwerking.

Verwerk je als organisatie persoonsgegevens op grond van een taak van algemeen belang? Of op grond van een gerechtvaardigd belang? Dan hebben de betrokkenen – de mensen van wie je gegevens verwerkt – altijd het recht om bezwaar te maken tegen deze verwerking van hun gegevens.

Gedetailleerde richtlijnen volgen nog

Zoals bij alle wetten is ook de AVG algemeen geformuleerd. Hoe de wet in de praktijk zal worden uitgelegd moet nog blijken. Met name het principe van gerechtvaardigd belang, waarbij je zonder toestemming persoonsgegevens voor marketingdoeleinden mag verwerken behoeft nadere uitwerking. Hoever mag je gaan met bijvoorbeeld profiling? De Europese toezichthouder zal komend najaar met een toelichting komen, waarna de Nederlandse toezichthouder volgt. Het is dus nog even afwachten wat de AVG voor de praktijk van marketing zal betekenen.

Acties voor Nexxt Mail

Concreet zal Nexxt Mail:

  • Een verwerkersovereenkomst opstellen, die beide partijen voor 25 mei 2018 getekend moeten hebben. Hierin wordt beschreven dat de makelaar de e-mailadressen op een rechtmatige manier heeft verkregen.
  • Een privacystatement opstellen die we plaatsen bij het aanmeldformulier van de nieuwsbrief. Als je niet de ‘Nieuwsbrief-aanmelden’ functionaliteit van Nexxt Mail gebruikt, zul je zelf een privacystatement moeten opstellen. In dit blog op Frankwatching wordt beschreven wat er in dit privacystatement moet staan.
  • Als een betrokkene zich afmeldt zullen wij Nexxt Mail zo inrichten dat de beschikbare data, zoals het klikgedrag, wordt geanonimiseerd.

Bron: autoriteitpersoonsgegevens.nl, Qamel. Frankwatching