We zijn inmiddels bijna 3 maanden verder na inwerkingtreding van de zo gevreesde Europese verordening (AVG) over de verwerking van persoonsgegevens, maar er valt nog een hoop te bediscussiëren. Daarom bloggen we gewoon vrolijk verder over dit onderwerp. Deze keer: ontdek wat de vijf grootste misvattingen zijn over de AVG waar wij als juristen dagelijks vragen over krijgen.
1: De AVG geldt niet voor mijn bedrijf, want we zijn niet in Europa gevestigd.
We horen dit misverstand bij Spaans&Spaans zo vaak, dat we er zelfs een hele blog over hebben geschreven!
Op juridisch vlak wordt de reikwijdte van een wet het ‘territoriale toepassingsgebied’ genoemd. De AVG heeft zogenaamde ‘extraterritoriale werking’, wat betekent dat de wet ook van toepassing is op bedrijven buiten Europa indien zij aan ‘targeting’ of ‘monitoring’ doen.
2: Ik verwerk geen persoonsgegevens.
Een klassieke misvatting, want persoonsgegevens verwerken, doe je al snel onder de AVG. Het is begrijpelijk waarom velen toch het idee hebben dat ze geen persoonsgegevens verwerken. De term verwerking roept namelijk het gevoel op, alsof we actief bezig zouden moeten zijn met de handel in data. ‘Verwerken’ betekent volgens de (online) Dikke van Dale
‘Werkend gebruiken of verbruiken (…)’
De term verwerken onder de AVG vereist echter helemaal geen actieve handeling: het simpelweg onder je hebben van persoonsgegevens, is voldoende. Het is dus niet genoeg om tegen jezelf te zeggen: ‘Ach, die lijst met e-mail adressen die ik onder mij heb waarvoor de betrokkenen geen toestemming hebben gegeven, maak mij niet tot een verwerker zolang ik er niks mee doe.’ Dat is dus fout, omdat je persoonsgegevens verzamelt of (waarschijnlijk) hebt opgeslagen.
In de praktijk komt het er dus op neer dat een verwerkingshandeling al snel een verwerking van persoonsgegevens in de zin van de Verordening is.
3: Als ik een privacyverklaring heb, zit het wel goed.
In veel gevallen heb je een privacyverklaring nodig en het is dan ook belangrijk dat je deze hebt laten opstellen. Echter, hiermee ben je er nog niet. Mogelijk dien je aan een veelheid van andere vereisten te voldoen, zoals bijvoorbeeld het bijhouden van een register (dit kan via privacyblok), het aanstellen van een Privacy Officer, het opstellen van verwerkersovereenkomsten, het aanpassen van je Cookiebeleid (kijk eens naar cookiebot), vragen om toestemming etc.
Bedenk ook dat het voldoen aan de AVG niet iets ‘eenmaligs’ inhoudt. Je dient steeds weer jouw interne privacybeleid te bekijken en mogelijk te herzien. Indien je nieuwe producten of diensten ontwikkelt, moet je zelfs al helemaal ‘vanaf het begin’ rekening gaan houden met een zorgvuldige omgang met persoonsgegevens. Tenslotte, nog dit. Dat een jurist jouw verwerkersovereenkomst of privacyverklaring heeft opgesteld, betekent nog niet dat je voldoet aan de vereisten onder de AVG. Het is immers ook een misvatting om te geloven dat een jurist precies inzicht heeft over alle gegevensstromen en het interne beleid binnen je bedrijf.
4: De AVG geldt niet voor B2B.
Helaas, ook dit is (deels) een misvatting. Natuurlijk heeft de AVG het vooral over consumentenbescherming en het lijkt op het eerste gezicht dan ook vreemd indien deze bescherming zich uitbreidt naar het bedrijfsleven. In overweging 1 staat het volgende:
‘De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht.’
Een natuurlijk persoon kan echter net zo goed geïdentificeerd worden door middel van zijn of haar bedrijfs-email. Indien een klant een bericht stuurt naar het volgende e-mailadres van één van onze juristen, [email protected], kan de naam van een persoon hieruit worden opgemaakt. Om deze reden is dit e-mailadres een voorbeeld van een persoonsgegeven en indien een bedrijf dit e-mailadres verwerkt, valt laatste onder de AVG. B2B valt echter buiten het toepassingsgebied van de AVG, indien de gegevens in kwestie niets zeggen over een individu en er dus geen sprake is van een persoonsgegeven.
5: Er is een taalvereiste onder de AVG.
De AVG eist dat je informatie aan betrokkenen in duidelijke en begrijpelijke taal verstrekt en de tekst (bijvoorbeeld je privacyverklaring) toegankelijk dient te zijn voor de doelgroep waarop je je richt. Dit zegt echter niets over de taal waarin de informatie moet worden verstrekt. Het is nog wachten op de eerste jurisprudentie over een (mogelijk) taalvereiste onder de AVG, maar voor nu dien je vooral je gezonde verstand te gebruiken. Wonen al jouw klanten in Frankrijk? Dan is het goed mogelijk dat je een privacyverklaring in de franse taal dient op te stellen.
Privacy jurist nodig
Boek dan nu nog een adviesgesprek. Je krijg daarmee 1 uur de tijd om, online of telefonisch, al jouw vragen, twijfels en opmerkingen met een jurist te delen. Wel zo fijn, die peace of mind.