Algemene verordening gegevensbescherming

De Algemene verordening gegevensbescherming (AVG), ook bekend als de Privacy Verordening en General Data Protection Regulation (GDPR), is door het Europees Parlement aangenomen. Alle webshops in Europa moeten sinds 25 mei 2018 aan de regels van de nieuwe verordening voor informatiebeveiliging en de bescherming van persoonsgegevens voldoen.

Waarom een nieuwe verordening?

Privacy staat al geruime tijd hoog op de agenda van beleidsmakers en politici, en niet voor niets. De regels waaraan we vóór de AVG aan moesten voldoen, stammen al uit 1995. Door snelle technologische ontwikkelingen en de behoefte van consumenten aan controle over hun gegevens zijn nieuwe regels noodzakelijk. De nieuwe verordening biedt een hoger beschermingsniveau voor consumenten, maar zorgt ook voor harmonisatie van privacywetgeving in Europa en daarmee voor betere kansen voor cross-border e-commerce.

Verordening voor wie?

De nieuwe verordening is van toepassing op alle organisaties die persoonsgegevens verwerken en binnen de Europese Unie gevestigd zijn. Maar ook organisaties die zich buiten de Europese grenzen bevinden en zich richten op de Europese markt of gegevens van Europese burgers verwerken, moeten zich aan de nieuwe verordening houden.

Verwerken van persoonsgegevens?

Persoonsgegevens bestaan uit de informatie waarmee je iemand hebt geïdentificeerd of waarmee je een persoon kunt identificeren. Wanneer je aan de hand van bepaalde gegevens personen niet direct kunt identificeren, maar ze wel aan kunt wijzen in een groep, gaat het niet per definitie om persoonsgegevens.

Als webwinkel heb je al gauw met persoonsgegevens van klanten en niet-klanten te maken. Denk maar aan het verzamelen van de naam, het telefoonnummer en het e-mailadres van je klanten. Daarnaast zijn een IP-adres of locatiegegevens die je kunt uitlezen wanneer een consument jouw webshop via zijn smartphone bezoekt ook persoonsgegevens.

Het verwerken van persoonsgegevens en de bescherming van privacy slaan niet alleen op het doorverkopen van privacygevoelige informatie aan derde partijen; ook het zelf verzamelen, inzien, opslaan of zelfs vernietigen van persoonsgegevens vallen hieronder. De AVG geldt dus ook voor jou als je geen persoonsgegevens doorverkoopt, maar slechts NAW-gegevens verzamelt om je klanten beter van dienst te zijn.

AVG voor webshops

De nieuwe verordening bepaalt dat je persoonsgegevens alleen “rechtmatig, behoorlijk en transparant” mag verwerken en dat je daar een “wettelijk omschreven grondslag” voor moet hebben. In duidelijke taal houdt dit in dat je van tevoren goed moet bepalen voor welk doel je persoonsgegevens verwerkt; je mag ze niet zonder toestemming voor een ander doel gebruiken. Als je bijvoorbeeld een adres opslaat om daar een pakketje naartoe te sturen, dan mag je dat adres niet zomaar doorgeven aan een adverteerder. Voor dit tweede doel heb je ook weer specifiek toestemming nodig van de betrokken persoon.

Hieronder vind je de belangrijkste onderwerpen uit de Algemene verordening gegevensbescherming:

• Data Protection Officer (DPO)
• Toestemming
• Recht van bezwaar
• Informatieverplichting
• Bewaartermijnen
• Privacy by design
• Meldplicht datalekken
• Dataportabiliteit
• Recht om vergeten te worden
• Data Protection Impact Assessment (DPIA)
• Toezicht en boetes
• Profilering