Zoek
Sluit dit zoekvak.
Picture of mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

De vijf grootste misvattingen over de AVG.

We zijn inmiddels bijna 3 maanden verder na inwerkingtreding van de zo gevreesde Europese verordening (AVG) over de verwerking van persoonsgegevens, maar er valt nog een hoop te bediscussiëren. Daarom bloggen we gewoon vrolijk verder over dit onderwerp. Deze keer: ontdek wat de vijf grootste misvattingen zijn over de AVG waar wij als juristen dagelijks vragen over krijgen.


1: De AVG geldt niet voor mijn bedrijf, want we zijn niet in Europa gevestigd.

We horen dit misverstand bij Spaans&Spaans zo vaak, dat we er zelfs een hele blog over hebben geschreven!
Op juridisch vlak wordt de reikwijdte van een wet het ‘territoriale toepassingsgebied’ genoemd. De AVG heeft zogenaamde ‘extraterritoriale werking’, wat betekent dat de wet ook van toepassing is op bedrijven buiten Europa indien zij aan ‘targeting’ of ‘monitoring’ doen.


2: Ik verwerk geen persoonsgegevens.

Een klassieke misvatting, want persoonsgegevens verwerken, doe je al snel onder de AVG. Het is begrijpelijk waarom velen toch het idee hebben dat ze geen persoonsgegevens verwerken. De term verwerking roept namelijk het gevoel op, alsof we actief bezig zouden moeten zijn met de handel in data. ‘Verwerken’ betekent volgens de (online) Dikke van Dale

‘Werkend gebruiken of verbruiken (…)’

De term verwerken onder de AVG vereist echter helemaal geen actieve handeling: het simpelweg onder je hebben van persoonsgegevens, is voldoende. Het is dus niet genoeg om tegen jezelf te zeggen: ‘Ach, die lijst met e-mail adressen die ik onder mij heb waarvoor de betrokkenen geen toestemming hebben gegeven, maak mij niet tot een verwerker zolang ik er niks mee doe.’ Dat is dus fout, omdat je persoonsgegevens verzamelt of (waarschijnlijk) hebt opgeslagen.

In de praktijk komt het er dus op neer dat een verwerkingshandeling al snel een verwerking van persoonsgegevens in de zin van de Verordening is.


3: Als ik een privacyverklaring heb, zit het wel goed.

In veel gevallen heb je een privacyverklaring nodig en het is dan ook belangrijk dat je deze hebt laten opstellen. Echter, hiermee ben je er nog niet. Mogelijk dien je aan een veelheid van andere vereisten te voldoen, zoals bijvoorbeeld het bijhouden van een register (dit kan via privacyblok), het aanstellen van een Privacy Officer, het opstellen van verwerkersovereenkomsten, het aanpassen van je Cookiebeleid (kijk eens naar cookiebot), vragen om toestemming etc.

Bedenk ook dat het voldoen aan de AVG niet iets ‘eenmaligs’ inhoudt. Je dient steeds weer jouw interne privacybeleid te bekijken en mogelijk te herzien. Indien je nieuwe producten of diensten ontwikkelt, moet je zelfs al helemaal ‘vanaf het begin’ rekening gaan houden met een zorgvuldige omgang met persoonsgegevens. Tenslotte, nog dit. Dat een jurist jouw verwerkersovereenkomst of privacyverklaring heeft opgesteld, betekent nog niet dat je voldoet aan de vereisten onder de AVG. Het is immers ook een misvatting om te geloven dat een jurist precies inzicht heeft over alle gegevensstromen en het interne beleid binnen je bedrijf.


4: De AVG geldt niet voor B2B.

Helaas, ook dit is (deels) een misvatting. Natuurlijk heeft de AVG het vooral over consumentenbescherming en het lijkt op het eerste gezicht dan ook vreemd indien deze bescherming zich uitbreidt naar het bedrijfsleven. In overweging 1 staat het volgende:

‘De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht.’

Een natuurlijk persoon kan echter net zo goed geïdentificeerd worden door middel van zijn of haar bedrijfs-email. Indien een klant een bericht stuurt naar het volgende e-mailadres van één van onze juristen, [email protected], kan de naam van een persoon hieruit worden opgemaakt. Om deze reden is dit e-mailadres een voorbeeld van een persoonsgegeven en indien een bedrijf dit e-mailadres verwerkt, valt laatste onder de AVG. B2B valt echter buiten het toepassingsgebied van de AVG, indien de gegevens in kwestie niets zeggen over een individu en er dus geen sprake is van een persoonsgegeven.


5: Er is een taalvereiste onder de AVG.

De AVG eist dat je informatie aan betrokkenen in duidelijke en begrijpelijke taal verstrekt en de tekst (bijvoorbeeld je privacyverklaring) toegankelijk dient te zijn voor de doelgroep waarop je je richt. Dit zegt echter niets over de taal waarin de informatie moet worden verstrekt. Het is nog wachten op de eerste jurisprudentie over een (mogelijk) taalvereiste onder de AVG, maar voor nu dien je vooral je gezonde verstand te gebruiken. Wonen al jouw klanten in Frankrijk? Dan is het goed mogelijk dat je een privacyverklaring in de franse taal dient op te stellen.

Privacy jurist nodig? Neem gerust contact op

Onze privacy-juristen weten alles over de AVG en helpen je graag bij het navigeren door de complexe wereld van gegevensbescherming en privacyregelgeving. Of je nu een bedrijfseigenaar bent die op zoek is naar advies over gegevensverzameling en -opslag, of een professional die zich wil verdiepen in de privacyaspecten van nieuwe technologieën, onze privacy-juristen staan voor je klaar.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).