Deze wet stelt regels over het gebruiken van persoonlijke informatie van inwoners van Europa, of door Europese organisaties. De AVG stelt zes basis privacyregels, waarop de rest van de artikelen zijn gebaseerd.
De 6 basis privacyregels:
1. Persoonsgegevens worden verwerkt op een rechtmatige, behoorlijke en transparante wijze.
2. Persoonsgegevens mogen alleen worden verwerkt voor het doel waarvoor deze verzameld waren. Dit doel moet welbepaald zijn, uitdrukkelijk beschreven en gerechtvaardigd.
3. Persoonsgegevens worden zo min mogelijk verwerkt. Alleen datgene wat strikt noodzakelijk is voor het eerder bepaalde doel, mag worden gebruikt.
4. De verzamelde en verwerkte persoonsgegevens moeten juist zijn en geactualiseerd.
5. Zodra de persoonsgegevens niet meer noodzakelijk zijn, moeten deze worden verwijderd of moet ervoor worden gezorgd dat de gegevens niet meer herleidbaar zijn tot de persoon.
6. De verwerkte persoonsgegevens moeten goed worden beveiligd en beschermd.
Transparantie is één van de basisregels uit de AVG. Informeren over privacy en het gebruiken van persoonlijke informatie hoort bij de invulling van deze transparantie-eis.
Informeren kan via een privacyverklaring (ook wel aangeduid als privacybeleid of privacy policy), maar mag op elke andere manier. Een filmpje, mondeling of verspreid over je website: als het maar duidelijk en begrijpelijk is voor het publiek dat jouw website bezoekt. Welke onderdelen horen in deze informatie terug te komen? De wet eist de volgende:
- Een beschrijving van de rechten van betrokkenen.
- De soort persoonsgegevens die je verwerkt.
- De doeleinden waarvoor persoonsgegevens door jouw organisatie worden ingezet en de bijbehorende rechtmatige grondslag.
- De bewaartermijn van de persoonsgegevens voor de beschreven doeleinden.
- Contact- en bedrijfsgegevens van de organisatie en, indien aangesteld, contactgegevens van de Functionaris Gegevensbescherming.
- De partijen aan wie je de persoonsgegevens doorstuurt of met wie je ze deelt.
- Waar je de persoonsgegevens opslaat, als dit buiten de Europese Economische Ruimte (EER) is, en hoe je zorgt dat deze gegevens ondanks opslag buiten de EER, toch beschermd zijn.
Doe je het niet goed? Klachten van jouw klanten, of zelfs een boete van een van de toezichthouders: die wil je liever voorkomen. Zorg daarom altijd dat je privacyverklaring aan de minimumvereisten voldoet.
De inhoud van de informatieplicht
Je bent verplicht om betrokkenen (de personen over wie de persoonsgegevens gaan) te informeren over de gegevens die je van hen verwerkt. Dit gebeurt doorgaans middels een privacyverklaring. In het boetebesluit van de CNIL wordt duidelijk dat veel waarde wordt gehecht aan het makkelijk toegankelijk maken van de privacyverklaring. Maar ook aan de leesbaarheid en duidelijkheid ervan. Duidelijk en begrijpelijk is de eis.
Daarnaast is het natuurlijk vereist dat alle verplichte onderdelen worden benoemd. In dit geval waren de bewaartermijnen niet volledig beschreven.
Ook bewaartermijnen moet je nakomen
De bewaartermijnen die wel waren vastgesteld, werden niet nagekomen. Ook dat is een belangrijke eis: je mag persoonsgegevens niet langer bewaren dan strikt noodzakelijk. En als je vastgesteld hebt dat de gegevens na 10 jaar niet meer bruikbaar zijn, dan horen deze ook niet meer te vinden te zijn in je systemen.
De toestemming voor cookies moet aan regels voldoen
De AVG schrijft voor wanneer toestemming rechtmatig gegeven is. Naast de AVG hebben we in Nederland de Telecommunicatiewet. Deze wet schrijft voor dat toestemming vereist is voor het gebruik van cookies. In Frankrijk hebben ze zo’n zelfde regeling. De website van de hypermarktketen voldeed niet aan deze regels. De cookies werden geplaatst, voordat een websitebezoeker ook maar iets hoefde te doen. Er werd dus geen toestemming gevraagd vóór het gebruik van cookies.
En houdt ook rekening met de rechten van betrokkenen
Vanuit de AVG hebben betrokkenen verschillende rechten. Dat gaat onder andere over inzage in de gegevens die je van hem hebt verzameld, maar ook over het intrekken van gegeven toestemming en de mogelijkheid krijgen om bezwaar te maken tegen een bepaalde verwerking. Het uitoefenen van deze rechten mag je niet onnodig moeilijk maken.Bij elk verzoek vragen om een (kopie van een) identiteitsbewijs is buiten proportioneel. Het is simpelweg belangrijk dat je zeker weet dat je de juiste persoon voor je hebt, en daar kun je ook op andere manieren achter komen.
Daarbij is het belangrijk om procedures in te richten om de verzoeken binnen een maand te kunnen beantwoorden. Een maandje langer kan in sommige gevallen nog, maar in principe moet je gewoon snel reageren. En voor elk verzoek is een goede afweging vereist. Wanneer een betrokkene bijvoorbeeld verzoekt om verwijdering van zijn gegevens, dan hoor je daaraan tegemoet te komen als dit mogelijk is.
Transparantie is het sleutelwoord
Last but not least is een algemene regel dat je transparant bent over wat je doet. Enerzijds speelt de hiervoor benoemde privacyverklaring daarin een grote rol. Anderzijds spelen ook andere uitingen op je website of zelfs mondeling daarin mee. Als je zegt dat je geen gegevens doorgeeft aan derde partijen, dan moet je je daar ook aan houden. En in dit geval: als je zegt dat je alleen een naam en e-mailadres doorgeeft, mag je niet ook nog extra informatie doorgeven aan derden.
Vragen over dit blog? Ideeën of opmerkingen?
"*" geeft vereiste velden aan