Het verschil tussen de AVG en de ePrivacy Verordening uitgelegd

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Net zoals bij elke nieuwe wet die het bedrijfsleven krijgt opgelegd, roept de implementatie van de nieuwe privacywetgeving bij veel organisaties vragen op. Daarnaast is er bij veel organisaties verwarring over de AVG en de ePrivacy Verordening. Is dat nu hetzelfde of staan ze los van elkaar?

Ik zet daarom voor onderstaand de belangrijkste feiten van de AVG (opslag, gebruik en verwerking van persoonsgegevens) en de ePrivacy Verordening (regels omtrent e-mail, cookies en telemarketing) op een rij.

Algemene Verordening Gegevensbescherming (AVG)

Het is een feit. Vanaf 25 mei zal dezelfde privacywetgeving in de hele Europese Unie gelden en zal de AVG de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. De AVG is de Nederlandse vertaling van de Europese General Data Protection Regulation (GDPR) die burgers meer controle over hun persoonlijke gegevens geeft en ervoor zorgt dat in elk Europees land dezelfde regels op het gebied van databescherming gelden. De AVG is bedoeld om een kader te scheppen waarin het voor iedereen duidelijk is wat de rechten en plichten zijn met betrekking tot opslag, gebruik en verwerking van persoonsgegevens.

Nog weinig bedrijven beseffen wat de consequenties zijn

Meerdere internationale onderzoeken hebben in de afgelopen maanden aangetoond dat een meerderheid van de Europese bedrijven onvoldoende is voorbereid op de invoering van nieuwe Europese datawetgeving. Zo blijkt ook uit recent onderzoek van securitydienstverlener Sophos dat voor (te) veel bedrijven het voldoen aan de AVG een lang en ingewikkeld proces is. En dat komt vooral doordat veel organisaties niet weten hoe ze te werk moeten gaan of wat de gevolgen zijn als ze de AVG niet naleven of er een datalek ontstaat. Die onwetendheid kan echter flink in de papieren lopen. De boetes bij het niet voldoen aan de AVG zijn namelijk fors: maximaal vier procent van de jaaromzet of 20 miljoen euro. Boetes die in Nederland uitgedeeld worden door de aangestelde toezichthouder: Autoriteit Persoonsgegevens (AP).

Belangrijkste feiten van de AVG op een rij

Feit 1: de AVG is officieel niet van toepassing op business to business, maar let op…
Bij veel organisaties is het niet duidelijk of business-to-businessactiviteiten ook onder de AVG vallen. Nu is vanuit de Europese commissie gecommuniceerd dat de opslag van business-to-businessgegevens (rechtspersonen) buiten de scope van de AVG valt. Echter, zodra de gegevens iets zeggen over een identificeerbaar individu zijn het persoonsgegevens en valt het dus wel degelijk onder de AVG. Bijvoorbeeld zakelijke telefoonnummers die aan een persoon zijn gekoppeld, personeelsadministraties, afbeeldingen met personen erop, locatiegegevens of de omzet van een VOF.

Feit 2: deze data moet u kunnen aanbieden als een individu hierom vraagt
Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar vanaf 25 mei komen daar nieuwe rechten bij, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Feit 3: documenteer al uw gegevensverwerkingen
In de AVG staat vooral de verwerking van persoonsgegevens centraal. Nu is de basis van de AVG grotendeels dezelfde als de huidige Wbp, maar voor degenen die hier nog niet mee bekend zijn: het is belangrijk dat u duidelijk uw gegevensverwerkingen in kaart brengt. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

Deze administratieplicht houdt in dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Dit overzicht kunt u overigens ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of te verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? Deze administratieplicht geldt overigens niet voor organisaties waarin minder dan 250 personen werkzaam zijn, tenzij sprake is van een verwerking met een hoog risico of verwerking van bijzondere, biometrische of strafrechtelijke persoonsgegevens.

Feit 4: breng vooraf privacyrisico’s in kaart middels een privacy impact assessment (PIA) 
Onder de AVG kunt u verplicht zijn een zogeheten privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. U moet een PIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Brancheverenigingen als bijvoorbeeld de DDMA adviseren bedrijven om een standaard PIA te hebben klaarliggen als u verwacht dat dit soort situaties gaan voorkomen. Zo kunt u het meteen uitvoeren, en hoeft u niet midden in een project op zoek naar een geschikte PIA. DDMA is momenteel bezig om een dergelijke template te ontwikkelen.

Komt straks uit een PIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

Feit 5: privacy by design & privacy by default
De AP raadt bedrijven aan om er nu al mee te starten de gehele organisatie vertrouwd te maken met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Ook geeft de AP advies over hoe u deze beginselen binnen uw organisatie kunt invoeren. Zo communiceren zij op hun website dat privacy by design inhoudt dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. En dat privacy by default inhoudt dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Feit 6: controleer of uw organisatie een functionaris voor de gegevensbescherming moet aanstellen
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG.

Feit 7: de meldplicht datalekken blijft 
Veel bedrijven waren bang dat de AVG de meldplicht datalekken zou aanpassen, maar goed nieuws: de meldplicht datalekken blijft onder de AVG grotendeels ongewijzigd. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Feit 8: bewerkersovereenkomsten worden nog belangrijker  
Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig de noodzakelijke wijzigingen aan. Want wanneer twee organisaties samen de rol van ‘verantwoordelijke’ hebben, zijn zij onder de AVG (art. 26) ook verplicht om afspraken te maken.

Feit 9: nog strengere eisen aan toestemming vragen
Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Feit 10: de AVG gaat niet in op de inzet van marketingkanalen als cookies, e-mail en telemarketing!
En dit laatste feit is misschien wel het allerbelangrijkste voor (online) marketeers om duidelijkheid te scheppen. SDIM ziet regelmatig hele goede blogposts voorbijkomen over de AVG, maar in deze artikelen wordt de indruk gewekt dat de kanalen die gebruik maken van elektronische communicatie (e-mail, telemarketing, etc.) ook in de AVG zijn vastgelegd en dat is niet correct. NAAST de AVG is de Europese Commissie (EC) sinds januari 2017 ook bezig met het wetsvoorstel voor een nieuwe ePrivacy Verordening.

ePrivacy Verordening

Deze ePrivacy Verordening regelt (onder andere) de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De EC stelt voor dat de ePrivacy wetgeving, net als de AVG, een verordening wordt. Een verordening is, in tegenstelling tot een richtlijn, rechtstreeks van toepassing. Dit betekent dat de wetgeving in principe in heel Europa gelijk is, afgezien van kleine uitzonderingen die de lidstaten zelf kunnen maken, zoals we in Nederland zelf hebben ervaren met de cookiewet.

De EC heeft het zeer ambitieuze plan opgevat om ook de ePrivacy Verordening vanaf 25 mei 2018 toe te passen, tegelijk met de AVG. Echter, dit wetsvoorstel moet nog langs het Europees Parlement en de Raad van Ministers. Het is daarom de vraag of die deadline gehaald gaat worden.

Mocht het concept voor de verordening van ePrivacy als wetsvoorstel worden aangenomen door het Europees Parlement en de Raad van de Europese Unie, dan verandert het totale speelveld.

Dan hoef je straks niet meer af te vragen welk kanaal in welk land opt-in is, want dat is – op telemarketing na – in de hele EU hetzelfde. Daarnaast wordt het speelveld groter, want de scope van het concept voor de verordening is veel breder dan cookies. Het gaat over de invloed van gegevensbescherming, over content, over metadata. Maar het betreft ook een wijziging in de definitie van ‘dienstverlener’. OTT (Over The Top)-apps en diensten zoals Snapchat en Netflix en IOT (Internet Of Things) komen namelijk ook onder de verordening te vallen.

Handhaving en boetes ePrivacy Verordening

Op dit moment wordt de ePrivacywetgeving in Nederland gehandhaafd door de Autoriteit Consument en Markt (ACM). In het wetsvoorstel staat dat dit in de toekomst zal moeten gebeuren door de Autoriteit Persoonsgegevens, die ook de AVG handhaaft. De boete op het overtreden van de cookiebepaling en het inzetten van andere marketingkanalen is maximaal tien miljoen euro, of twee procent van de totale jaarlijkse wereldwijde omzet. In sommige andere gevallen kan een boete oplopen tot 20 miljoen euro of vier procent van de totale jaarlijkse wereldwijde omzet.

Vraag of opmerking over de AVG of de ePrivacy Verordening?

SDIM hoopt dat u door middel van deze blogpost wat meer inzicht heeft gekregen in de vele veranderingen die u in uw bedrijfsprocessen moet doorvoeren. Maar bovenal dat u nu duidelijkheid heeft ten aanzien van vragen die al langer bij u speelden.

Voetnoot: Aan deze blog kunnen geen rechten worden ontleend. SDIM is geen compliance specialist en heeft deze blogpost op basis van eigen kennis en ervaringen, maar ook van externe bronnen samengesteld.

*) Bronnen: 

• IAB Nederland
• Branchevereniging DDMA 
• Autoriteit Persoonsgegevens