AVG: Belangrijke vragen en antwoorden rondom de nieuwe privacyverordening
Persbericht
Bron: Vincent Romviel voor Thuiswinkel.org
Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Vanaf dan moeten Europese webshops aan de regels van deze nieuwe verordening voor de verwerking van persoonsgegevens voldoen. In vergelijking met de huidige privacywetgeving moet de consument op een aantal punten beter worden geïnformeerd over de gegevens die van hem worden verzameld en over zijn rechten op dit gebied. Wil je meer weten over hoe je de klant moet informeren, wanneer iemand bezwaar mag maken tegen het verwerken van zijn gegevens en hoelang persoonsgegevens eigenlijk bewaard mogen worden? In dit artikel leggen we je uit hoe het zit.
1. Hoe moet een consument worden geïnformeerd over de verwerking van zijn persoonsgegevens?
Als webwinkelier verwerk je regelmatig persoonsgegevens (denk aan het opslaan, kopiëren, inzien of doorsturen van personeels- of klantgegevens). Dit mag volgens de wet alleen op een ‘rechtmatige, behoorlijke en transparante’ manier gebeuren. De verantwoordelijkheid hiervoor ligt bij de verwerker van de persoonsgegevens, dus bij jou of bij derden die voor jou verwerken.
De verwerker moet kunnen aantonen dat hij aan de gestelde eisen voldoet. Dit wordt het transparantiebeginsel genoemd. Je voldoet hieraan door de consument in duidelijke en eenvoudige taal – in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm – te informeren over de verwerking van zijn persoonsgegevens en over zijn rechten. Dit beginsel is vastgelegd in twee informatieplichten die volgen uit de AVG:
- De verstrekking van informatie bij verkrijging van persoonsgegevens bij de consument.
- De verstrekking van informatie bij verkrijging van persoonsgegevens van de consument elders. (art. 13 en 14 van de AVG)
Via een privacy policy kan aan beide informatieplichten worden voldaan.
Eisen aan de privacy policy
In een privacy policy moet worden opgenomen op welke wijze de verwerking van persoonsgegevens van de consument plaatsvindt. Wat zijn de doeleinden van deze verwerking en voor hoelang worden de gegevens opgeslagen? Daarnaast moet apart worden vermeld op welke grondslag de verwerking van betreffende persoonsgegevens is gebaseerd (denk hierbij aan toestemming van de consument of een gerechtvaardigd belang van de webshop). Ook moet de privacy policy de rechten van betrokkenen vermelden, zoals het recht op bezwaar, het recht op dataportabiliteit en het recht om vergeten te worden. Ten slotte moet de privacy policy goed zichtbaar en vindbaar zijn op de website.
De Thuiswinkel Privacytool, die eind september wordt gepubliceerd, helpt je straks verder bij het opstellen van een privacy policy die specifiek is toegespitst op jouw situatie.
Een klant hoeft overigens niet apart akkoord te gaan met een privacyverklaring. Er is vanuit de AVG alleen een verplichting om de consument te informeren over genoemde onderwerpen.
2. Wat is het verschil tussen het intrekken van toestemming voor en het maken van bezwaar tegen de verwerking van persoonsgegevens?
Voor een rechtmatige verwerking van persoonsgegevens onder de AVG moet sprake zijn van een wettelijke basis die deze verwerking rechtvaardigt. Toestemming is een van de gronden die de verwerking van persoonsgegevens rechtvaardigt en veel gegevensverwerkingen dienen specifiek op deze verwerkingsgrond te berusten (bijvoorbeeld het versturen van nieuwsbrieven) (link: hoe dient om toestemming te worden gevraagd). Uit de toestemming moet blijken dat de consument vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens akkoord gaat. Je moet dus kunnen aantonen dat deze toestemming door de consument is gegeven, nog vóórdat zijn gegevens zijn verwerkt. Wanneer de consument toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens, moet hij deze te allen tijden kunnen intrekken.
Het recht van bezwaar is anders dan het recht om toestemming in te trekken. In het geval van bezwaar is een andere grondslag dan toestemming de basis geweest voor het verwerken van persoonsgegevens. Een consument kan zich dan nadat de verwerking al heeft plaatsgevonden op het recht van bezwaar beroepen. Als het recht van bezwaar wordt ingeroepen door de consument, moet de webwinkelier de verwerking van deze persoonsgegevens onmiddellijk staken. De enige uitzondering hierop geldt als de ondernemer dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de consument. Bij toestemming gelden deze aanvullende eisen niet.
3. Mag ik alle gegevens van de klant bewaren?
De AVG noemt geen harde getalsmatige termijnen voor het bewaren van persoonsgegevens, maar gegevens mogen niet onbeperkt worden bewaard. De lengte van de bewaartermijn is afhankelijk van hoelang het noodzakelijk is om klanten te identificeren voor het doel waarvoor diens persoonsgegevens in de eerste plaats zijn verzameld. Wanneer gegevens niet langer nodig zijn voor dit doel (denk aan adresgegevens die werden verzameld voor het verzenden van een pakketje), moeten deze worden verwijderd.
Alleen voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden mogen gegevens voor langere perioden worden opgeslagen.
Webshops moeten hun klanten ook informeren over de periode waarin de persoonsgegevens worden opgeslagen. Als dit niet mogelijk is, dan moet de webwinkel communiceren over de criteria die gebruikt worden om de termijn te bepalen. Om aan het beginsel van dataminimalisatie (niet méér gegevens verwerken dan noodzakelijk voor het verwerkingsdoel) te voldoen, moeten passende technische en organisatorische maatregelen worden genomen om de bescherming van rechten van betrokkenen zo veel mogelijk te waarborgen. Om gegevens niet langer te bewaren dan noodzakelijk kan dus een periodieke toetsing worden gehouden om vast te stellen of het bewaren van persoonsgegevens nog relevant is.