-

De grootste misvattingen over de nieuwe Europese Privacywet

De privacyverordening is een feit. De nieuwe Europese regels voor het verwerken van persoonsgegevens zijn vorige week aangenomen door het Europees Parlement en het laatste wachten is op de publicatie in het EU Publicatieblad. In 2018 treedt de wet in werking. Niet iedereen lijkt door te hebben dat de wet ook op zijn bedrijf van toepassing is. Daarom is het de tijd om de belangrijkste misvattingen over de verordening uit de weg te helpen en uit te leggen hoe het zit.

1. NIET WAAR: De verordening is alleen van belang voor grote bedrijven

Iedere organisatie moet voldoen aan de verordening. De regels zijn namelijk ‑ net zoals onze huidige privacywet – van toepassing op elke verwerking van persoonsgegevens, ongeacht de omvang van de organisatie.

2. NIET WAAR: De verordening is alleen van toepassing op bedrijven in Europa

Bedrijven die gevestigd zijn buiten de EU, maar zaken of diensten aanbieden aan Europese burgers en daarbij hun gegevens verwerken, moeten zich aan de verordening houden. Datzelfde geldt voor organisaties die via cookies surfgedrag van Europeanen monitoren.

3. NIET WAAR: De verordening geldt alleen voor online data

De verordening reguleert de on- en offline wereld. De nieuwe regels gelden net zo goed voor een papieren archief en een direct mail als voor display advertising.

4. NIET WAAR: De verordening is alleen van belang in de B2C sfeer

De verordening geldt voor zowel B2B als B2C. Een B2B gegeven is namelijk al heel snel een persoonsgegeven, denk bijvoorbeeld aan een zakelijk e-mailadres, directe telefoonnummers, functietitels of zakelijke postadressen. En in dat geval gelden de nieuwe regels.

5. NIET WAAR: Wij verwerken data niet geautomatiseerd, de verordening geldt niet voor ons

De verordening is van toepassing op geautomatiseerde verwerkingen (profilering), maar ook op deels geautomatiseerde verwerkingen of andere gestructureerde verzamelingen van persoonsgegevens.

6. NIET WAAR: Als ons privacy statement in orde is, voldoen we aan de privacy verordening

De verordening scherpt bestaande standaarden aan, maar introduceert ook nieuwe verplichtingen. Organisaties moeten een protocol datalekken opstellen een Privacy Impact Assesment doen voor bepaalde processen en een documentatie bijhouden van welke gegevens zij verwerken, welke bewerkers zij daarbij inschalen en hoe data beveiligd is. Ook de consument heeft nieuwe rechten, waaronder het recht om zijn informatie te verhuizen (dataportabilliteit).

7. NIET WAAR: Als we toestemming hebben voor de verwerking, voldoen we aan de privacy verordening

Toestemming moet het resultaat zijn van een actieve handeling en je moet voldoende informatie geven op basis waarvan iemand betekenisvolle toestemming kan geven. Marketeers zullen de wijze waarop toestemming wordt verkregen tegen het licht moeten houden. Belangrijke informatie over waarvoor iemand toestemming geeft mag niet worden weggestopt in algemene voorwaarden.

8. NIET WAAR: Met een cookiebanner op de website, zijn we klaar voor de privacy verordening

Goed om je te realiseren is dat de verordening het verwerken van persoonsgegevens techniek neutraal reguleert. Dat wil zeggen dat specifieke regels voor het gebruik van cookies of het versturen van e-mails niet in deze verordening worden geregeld.

De cookiebanner is het gevolg van een Europese Richtlijn (de E-Privacy Directive) die in nationale wetgeving (onze Cookieverordening) is geïmplementeerd. De Europese Commissie is nu gestart met een consulatie over de herziening van deze Richtlijn.

9. NIET WAAR: Mijn bedrijf bestaat slechts uit 1 à 2 mensen, wij hebben geen privacy officer nodig

Als data één van de kernactiviteiten is van je bedrijf, is het aanstellen van een data protection officer verplicht, ongeacht de omvang van je organisatie.

De inwerktreding

De privacy verordening treedt in werking 20 dagen na de publicatie in het EU Publicatieblad. Vervolgens duurt het nog twee jaar voordat de regels rechtstreeks toepasselijk zijn in elke EU-lidstaat. Uiteraard zal DDMA haar leden helpen bij de overgang door middel van toelichting en advies.

*) Dit artikel is tevens gepubliceerd op de website van DDMA.

Deel dit bericht

1 Reactie

Coen Koppen

Leuke insteek voor een artikel Sabine. En je maakt belangrijke punten. ICTRecht heeft afgelopen week een factsheet gepubliceerd met aanvullende informatie over de impact van de Europese Privacyverordening.

O.a. over wat er in een bewerkersovereenkomst moet staan, veranderingen in de meldplicht datalekken en of een Privacy Impact Assessment uitgevoerd moet worden: https://ictrecht.nl/factsheets/impact-van-de-europese-privacyverordening-2/

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond