Geschreven door: Rick Anderson (Consultant)

U heeft er ongetwijfeld over gelezen of van gehoord. De nieuwe privacywet voor Europa, ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd. In mijn eigen zoektocht naar wat dit precies in gaat houden en hoe we volgens deze wet persoonsgegevens mogen verwerken heb ik wat handige richtlijnen welke ik graag met jullie wil delen.

We beginnen even bij het begrip “persoonsgegevens”. In het kort bedoelen we hiermee:

“Gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie of direct over iemand gaat, of naar deze persoon te herleiden is.”

Hieronder vallen nu ook IP-adressen, e-mailadressen, MAC-adressen & cookies.

Goed om te weten is dat een e-mailadres niet altijd een persoonsgegeven hoeft te zijn. Bijvoorbeeld: rick@experius.nl is wel een persoonsgegeven want deze is te herleiden naar (in dit geval) mij. support@experius.nl is geen persoonsgegeven aangezien (al weten wij stiekem wel dat deze mail naar onze geweldige klant coördinatoren gaat) we deze niet kunnen herleiden naar een persoon.

Dan bestaan er ook nog “gevoelige persoonsgegevens” dit zijn persoonsgegevens welke iets zeggen over:

·         Godsdienst of levensovertuiging

·         Ras

·         Politieke voorkeur

·         Gezondheid

·         Seksuele leven

·         Lidmaatschap van een vakbond

·         Strafrechtelijk verleden

·         Financiële gegevens

Deze worden in het bijzonder genoemd omdat deze gegevens de betrokkene kan schaden.

Als we vervolgens ook maar iets gaan doen met de bovengenoemde gegevens zijn we deze persoonsgegevens al aan het verwerken.  Maar….

Wanneer mogen we persoonsgegevens verwerken en hoe moeten we dat dan doen conform de AVG?

Om persoonsgegevens te (mogen) verwerken moeten we onszelf voor elke verwerking de volgende drie dingen afvragen:

  1. Wat is het doel van de verwerking?
  2. Op basis van welke grondslag verwerken we de gegevens?
  3. Gebruiken we de minimaal vereiste gegevens en worden deze beveiligd?

We kunnen dit vertalen naar de onderstaande checklist. Waarbij we alles moeten kunnen afvinken, met als uitzondering de grondslag. Een verwerking kan op basis van 1 grondslag uitgevoerd worden.

Het doel: Op basis van grondslag De persoonsgegevens zijn:
  • Is eerlijk en transparant;
  •  Ligt vast;
  • Is helder voor de betrokkene.
  • Toestemming;
  • Uitvoering overeenkomst;
  • Vitale belangen;
  • Uitvoering overheidstaak;
  • Dringend eigen belang;
  • (Wetenschappelijk onderzoek)
  • Tot het minimale beperkt;
  • Goed beveiligd.

 

De Grondslagen
Toestemming: Hier geeft de betrokkene toestemming om de gegevens te verwerken (ten behoeve van het beschreven doel.)
Uitvoering overeenkomst: Als je een bestelling plaatst in een webshop is het logisch dat je N.A.W. gegevens invult om uiteindelijk je factuur en artikelen te kunnen ontvangen.
Vitale belangen: Hier geef je gegevens door welke op dat moment van Vitaal belang zijn. Een voorbeeld is het doorgeven van de naam van een slachtoffer aan de hulpdiensten tijdens een noodgeval.
Uitvoering overheidstaak: Het verwerken van gegevens op basis van een overheidstaak, deze zal minder relevant zijn voor u als e-commerce ondernemer.
Dringend eigen belang: Het kan zijn dat je een lijst van wanbetalers bij wilt houden, hier ga je geen toestemming voor vragen bij de wanbetaler. Dit kan worden gezien als verwerking op basis van deze grondslag.

 

Kun je de verwerking niet verantwoorden door in kolom “Het doel” en “De persoonsgegevens zijn” alles aan te vinken en minimaal 1 grondslag? Dan ben je waarschijnlijk niet conform de AVG aan het handelen en moet je de verwerking staken.

 

De bovenstaande checklist is helaas geen garantie dat je in alle gevallen voldoet aan de wet. Er staan nu eenmaal termen in welke niet concreet zijn. Hier zullen de risico’s en belangen afgewogen moeten worden. Maar het geeft je als e-commerce ondernemer in ieder geval handvaten om structureel en bewust naar de verwerking van persoonsgegevens te kijken. De AVG wetgeving omvat nog meer dan wat ik zojuist heb beschreven en we zijn bij Experius druk bezig met de voorbereidingen. Dit is zeker niet het laatste nieuws over deze nieuwe wetgeving.

Mocht je intussen al wel behoefte hebben aan meer informatie, of heb je specifieke vragen over je shop en de AVG wetgeving. Neem dan gerust contact met ons op. We vertellen je graag waar je als webshop eigenaar rekening mee moet houden.