We zijn precies twee maanden verder na de invoering van de AVG. Het lijkt er inderdaad op dat betrokkenen hun rechten in groten getale inroepen, zoals het recht op verwijdering. En direct dreigen met boetes en klachten bij de Autoriteit Persoonsgegevens of de Consumentenbond. Lastig, en het zorgt bij bedrijven voor een hoop extra werk. Bedrijven hebben zichzelf echter ook een hoop extra werk bezorgd, denk aan de e-mails die massaal werden gestuurd over updates van de algemene voorwaarden en het opnieuw ophalen van de opt-in voor de nieuwsbrief.
Help, verwerk ik eigenlijk wel persoonsgegevens?
Dacht je dat je als bedrijf niet onder de AVG zou vallen, maar begin je daar nu toch aan te twijfelen? Verwerk je eigenlijk wel persoonsgegevens? Je verwerkt al snel persoonsgegevens. Denk aan een klantenbestand, een lijst op de balie waar mensen hun e-mailadres achter kunnen laten voor de nieuwsbrief of misschien heb je wel een webshop waar cookies gegevens van consumenten registreren. Een voorbeeld daarvan is Google Analytics. Je valt dan inderdaad onder de toepassing van de AVG.
Het is echter nog niet te laat om privacy proof te worden. Begin dan met een verwerkingsregister, dat is het eerste waarnaar de autoriteit kijkt om te bepalen of je de AVG serieus hebt genomen. Lees hier meer over de steekproef over naleving van de nieuwe privacy wetgeving in de private sector die de AP zojuist gestart is.
Moet ik dan ook een e-mail sturen met een update over mijn algemene voorwaarden?
Wanneer je je algemene voorwaarden aanpast, dien je je gebruikers of klanten daarvan op de hoogte te stellen. Dat kan je ook doen wanneer een klant een bestelling plaatst, of wanneer het van toepassing is op het gebruik van een website, wanneer de gebruiker op de website komt. Dit hoeft dus niet per sé in een e-mail. De AVG schreef ook niet voor dat bedrijven voor 25 mei 2018 massaal een e-mail moesten sturen aan hun gebruikers. Alleen maar heel iritant zou je zeggen. Toch lijkt het alsof bedrijven elkaar hier maar in na gingen doen, uit angst voor boetes. Er zijn veel rare dingen langsgekomen! Het is dus altijd aan te bevelen om hier het juiste advies over in te winnen. Want het zou jammer zijn als je hele e-mailbestand onbruikbaar is geworden door een herbevestiging van de opt-in die misschien wel helemaal niet nodig was!
Blijf helder denken; hoe wil je met je klant omgaan?
Misschien had je het allemaal al wel prima op orde voor 25 mei: een transparant privacy- en cookiebeleid, duidelijke voorwaarden en bewaar je de gegevens van je klanten op een veilige server waar niet iedereen zomaar bij kan. Inventariseer dan je datastromen en kijk nog eens goed naar hoe lang je de data bewaart. Dient een klant een verwijderingsverzoek in dan kijk je naar wat je dan inderdaad dient te verwijderen, maar wellicht zijn er ook gegevens die je op basis van een andere grondslag dient te bewaren. Denk daarbij aan ordergegevens die je voor de fiscus beschikbaar moet houden. Blijf je toch twijfelen of je het juiste doet? Win dan advies in van een expert.
afdeling legal 