Weet wat de AVG voor jou betekent!

Wij delen graag onze kennis en inzichten

Iedere ondernemer krijgt ermee te maken: de Algemene Verordening Gegevensbescherming (AVG). In het leven geroepen door de Europese Unie om in elke lidstaat één lijn te trekken, omtrent regelgeving over persoonsgegevens. De AVG geldt daarmee als vervanging voor de Wet bescherming persoonsgegevens.

De AVG is bedoeld om te verduidelijken hoe er met het verzamelen van persoonsgegevens om moet worden gegaan. Voor iedere onderneming geldt dat zij de AVG moeten implementeren op de wijze waarop zij persoonsgegevens verwerken.

Aangezien het de bedoeling is dat elke onderneming de AVG implementeert, ga je ervan uit dat de AVG zo duidelijk mogelijk is. Toch is dit vaak niet het geval. De AVG staat namelijk vol met vage juridische taal en suggererende teksten, waar in beginsel niet duidelijk van is wat ermee wordt bedoeld.

Wij (van XY Legal Solutions) zijn meerdere bedrijven tegengekomen die in de knoop zitten met de AVG wetgeving. In deze blog geven wij een voorbeeld van een veel gemaakte fout. Ook gaan we erop in hoe je deze fout kunt voorkomen.

 

Een fout is zo gemaakt

Een van de meest voorkomende fouten die wij bij privacyverklaringen zien, heeft betrekking op artikel 13 van de AVG. Artikel 13 heeft betrekking op de informatie die aan een betrokkene gegeven moet worden, wanneer deze haar persoonsgegevens opgeeft. Hierbij lopen ondernemers voornamelijk tegen artikel 13 lid 2 sub a aan.

Dit artikel luidt als volgt: “de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn.”

Hiermee wordt bedoeld dat je in jouw privacyverklaring per soort persoonsgegevens moet aangeven voor hoelang zij bewaard worden. Het artikel geeft echter niet aan hoe specifiek dit moet. Hier beginnen voor de meeste ondernemers de problemen. Hoe moet je een termijn aangeven, als je niet weet wat er van je verwacht wordt? Wat er nu vaak gebeurt is dat er een keuze wordt gemaakt.

In plaats van een specifieke termijn te geven, wordt er veelal, in enige vorm, de volgende tekst geplaatst: “Uw persoonsgegevens worden opgeslagen voor zolang als nodig is.”

Dit is echter in de meeste gevallen niet voldoende.

 

Maar wat moet er wel staan?

Om erachter te komen wat er wel moet staan, raadplegen we de Guidelines on Transparency (Richtlijnen op Transparantie). Naast het publicatieblad van de AVG geeft deze richtsnoer verder inzicht over de uiteindelijke bedoeling van een aantal artikelen in de AVG. Zo ook over artikel 13 lid 2 sub a.

Kort gezegd wordt in deze richtsnoer geponeerd dat de termijn voor het opslaan van persoonsgegevens zo specifiek mogelijk moet worden gegeven. Je dient echt een duidelijke termijn te geven voor het opslaan van deze gegevens. Je kunt bijvoorbeeld stellen dat je de NAW gegevens maximaal één jaar bewaart. Of dat je moet voldoen aan de bewaarplicht van de Belastingdienst, welke 7 jaar bedraagt. Door de bewaartermijn helder te formuleren, werk je beter in lijn met de AVG.

 

Controleren is beter

Elke bepaling die je in jouw privacyverklaring zet, dient zijn grondslag te vinden in de AVG. Het is daarom van belang dat je precies weet wat er door de AVG bedoeld wordt. Onder andere de Guidelines on Transparency kunnen jou hierbij helpen.

De richtlijn is zo ontworpen dat deze gelezen kan worden door personen die geen juridische achtergrond of kennis hebben. Waar wetteksten al gauw warrig en onduidelijk overkomen, geeft de richtlijn op een duidelijk en begrijpelijke manier uitleg. De richtlijn moet voor iedereen te begrijpen zijn. Onbegrip zorgt immers voor gebrekkige interpretatie door organisaties.

Naast de Guidelines on Transparency kan je ook altijd de Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation raadplegen. Dit document geeft extra informatie over hoe je op een goede manier omgaat met persoonsgegevens. Profileren houdt in dat er een profiel geschetst wordt van een betrokkene, aan de hand van de gegevens die verzameld zijn.

Er worden bijvoorbeeld door middel van cookies gegevens over je verzameld. Aan de hand van deze informatie schetst een automatisch systeem een profiel van jou. Hiervoor hoeft dit systeem niet jouw naam of adresgegevens te weten. Jouw sitegedrag is voldoende. Op deze manier kan degene die het systeem in beheer heeft een beeld schetsen van wat voor soort personen de site bezoeken en wat zij op de site doen. Op basis van deze analyse kunnen zij hun online werkzaamheden gerichter inzetten.

De AVG geeft regels over hoe jij deze profilering mag gebruiken in jouw bedrijfsvoering. Omdat de AVG hier kort en bondig over is geeft de Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation een duidelijke toelichting over deze implementatie.

 

Heb je hulp nodig om jouw onderneming aan de AVG te laten voldoen? XY Legal Solutions staat voor je klaar!

Heb je nog hulp nodig om jouw onderneming AVG-klaar te maken? Dan staat XY Legal Solutions voor je klaar! Onze specialisten zorgen ervoor dat jij de best mogelijke juridische hulp krijgt. Van AVG advies tot volledige documenten die speciaal op jouw onderneming afgestemd zijn. Voor meer informatie kan je altijd contact opnemen met info@xyls.nl of +31 (0)6 36 51 67 15.

Neem contact met ons op