Tijdens het AVA_Net webinar AVG kan meer dan je denkt bleek weer: de Algemene Verordening Gegevensbescherming (AVG) wordt vaak als lastig en beperkend gezien. Maar is dit terecht? Vijf misverstanden over de AVG:
1. Het mag niet van de AVG
De kans is groot dat je wel eens hebt gehoord of zelf hebt gezegd:’’Dat mag niet meer van de AVG.’’ En dit, terwijl de AVG weinig ‘nieuws’ heeft gebracht. Het is waarschijnlijker dat jij of jouw organisatie er hiervoor simpelweg geen aandacht aan heeft besteed, omdat privacywetgeving was versplinterd en voor een groot gedeelte onder de radar bleef. Sinds de inwerkingtreding van de AVG lijkt men echter wakker geschud en is men zich wat bewuster van de regels. Maar er mag nog steeds veel! Je moet alleen wel zorgen dat je je aan de vereisten van de AVG houdt zoals o.a. doelbinding, rechtmatigheid en dataminimalisatie.
2. Ik moet toestemming vragen voor het plaatsen van cookies
Veel websites gebruiken cookies. In sommige gevallen kun je ze eenvoudig (de)selecteren, maar er zijn ook websites met ellenlange lijsten met third party cookies en die je moeilijk kunt uitzetten. Grofweg zijn er drie categorieën cookies:
- Functionele of noodzakelijke cookies zijn nodig voor de juiste werking van je website. Hiervoor is geen toestemming vereist.
- Analytische cookies zijn er om te zien hoe effectief je website is of bijvoorbeeld hoeveel bezoekers je krijgt. Hiervoor moet je toestemming vragen tenzij de cookies anoniem zijn. Dat wil zeggen dat ze niet herleidbaar zijn naar een persoon.
- Third party cookies. Dit zijn cookies van andere diensten en hiervoor moet een gebruiker toestemming geven.
Let op! Je moet wel altijd melden dat je cookies plaatst.
3. Ik moet toestemming hebben om foto’s of video’s van een bijeenkomst of evenement te plaatsen
Een hardnekkig misverstand is dat je vooraf deelnemers van een evenement of bijeenkomst moet vragen om toestemming voordat je foto’s of video’s maakt van dat evenement. Toestemming is een van de rechtmatige grondslagen van de AVG en kan gebruikt worden. Maar toestemming kan ook altijd ingetrokken worden en is voor jou als organisator niet altijd werkbaar.
In sommige gevallen kun je je beroepen op de grondslag gerechtvaardigd belang. Bijvoorbeeld als het evenement te groot is om iedereen individueel om toestemming te vragen Of omdat je geen voorziening hebt om hen die geen toestemming geven te faciliteren en daardoor moet weigeren voor je evenement. Dan kan toestemming namelijk niet vrijelijk gegeven worden.
Let er op dat jouw belangen wel gerechtvaardigd moeten zijn. Dat kan zijn omdat je een persuiting wilt doen over je evenement en daarbij wat sfeerbeelden wilt laten zien. Zelfs een commercieel belang kan een gerechtvaardigd belang zijn. Een gerechtvaardigd belang is een belang dat niet in strijd is met het recht en dit kan dus veel zijn. Wel is het heel belangrijk dat je de afweging maakt tussen jouw belangen om het beeldmateriaal te vervaardigen en de privacybelangen van de deelnemers.
Tip: Indien mogelijk zou je wel kunnen proberen tegemoet te komen in mensen die niet op de foto willen door dat met de fotograaf te bespreken en hen, waar mogelijk, buiten beeld te laten.
Let op: Wél is het verplicht om deelnemers vooraf te informeren over welke persoonsgegevens er van hen verwerkt worden. Dat geldt dus ook als je foto- en videomateriaal gaat opnemen!
4. Ik mag geen mensen uit mijn CRM systeem mailen zonder toestemming
Veel organisaties zitten in onduidelijkheid over het gebruik van mail voor hun relaties. De regels hierover zijn geregeld in de Telecommunicatiewet (en dus niet zozeer de AVG). Het komt erop neer dat het eraan ligt wat het doeleinde is. Gewone mail tussen jou en een externe collega, relatie of partner valt niet onder deze regels omdat het geen ongevraagde communicatie betreft. Het gaat hier specifiek om ongevraagde communicatie zoals nieuwsbrieven en reclame voor jouw product of dienst. Die mag je niet sturen zonder voorafgaande toestemming van de ontvanger. Je kunt deze toestemming wel vragen, bijvoorbeeld op je website of bij het afrekenen van een product. Wel moet deze toestemming vrijelijk en ondubbelzinnig gegeven worden. Dat wil zeggen dat je géén vooraf aangevinkte checkbox mag plaatsen. Wel mag je een lege checkbox plaatsen die potentiële betrokkenen actief kunnen aanvinken.
Overigens mag je personen van wie je een e-mailadres hebt omdat je eerder een product of dienst aan hen hebt verschaft wel benaderen met vergelijkbare producten en diensten.
Let op: In al dit soort mails moet je wel de optie geven tot opt-out. Het uitschrijven voor nieuwsbrieven en reclame moet ten minste net zo makkelijk zijn als het inschrijven ervoor.
5. Ik moet met al mijn leveranciers een verwerkersovereenkomst afsluiten.
Dit misverstand komt nog steeds heel vaak voor. Je hoeft alleen een verwerkersovereenkomst af te sluiten als een andere partij voor jouw organisatie persoonsgegevens gaat verwerken. Denk bijvoorbeeld aan een salarisadministratiekantoor die voor jouw salarissen gaat verwerken en uitkeren. Daarbij maken zij gebruik van (gevoelige) persoonsgegevens van jouw werknemers. Zij doen dat in opdracht van jou en mogen niks anders doen met die gegevens dan de opdracht uitvoeren. In dat geval moet je een verwerkersovereenkomst afsluiten.
