Carlo Kuip
Gepubliceerd: 13 februari 2018
De grondslagen
Er is sprake van rechtmatige verwerking van persoonsgegevens als daarvoor actief toestemming is verleend door een persoon. Slimmeriken die werkten met vooraf ingevulde vinkjes of het aanvaarden van de voorwaarden door gebruik zullen hun werkwijze dus moeten aanpassen.
Hoe komt u erachter of de gegevensverwerking in (of via) uw bedrijf rechtmatig is? Dat kunt u toetsen aan de uitgangspunten die daaraan ten grondslag liggen.
Op basis van de zes onderstaande grondslagen mag je persoonsgegevens verwerken:
- De betrokkene heeft toestemming gegeven
- Het is noodzakelijk voor de uitvoering van een overeenkomst
- Het is noodzakelijk om te voldoen aan een wettelijke verplichting
- Het is noodzakelijk om de vitale belangen van een natuurlijke persoon te beschermen
- Het is noodzakelijk voor het vervullen van een taak in het algemeen belang of in het kader van het openbaar gezag
Een mooi lijstje maar wat kun je ermee? In gewonemensentaal betekent dit dat je aan de hand van die zes uitgangspunten kunt checken of je de persoonsgegevens op de juiste manier verwerkt. Laten we eens kijken naar het onderstaande voorbeeld.
Case: De webshop
Als ondernemer heb je een webshop voor verkoop van goederen aan particulieren. Bij het bestellen vult een particulier zijn NAW-gegevens in en zijn e-mailadres. Daarnaast worden voor het betalen en registreren van de transactie de banknaam en het IBAN-nummer vastgelegd, zodat de iDeal-betaling in één klik kan worden gestart. Daarbij komt nagenoeg altijd de vraag of de particulier de nieuwsbrief wil ontvangen, zodat nieuwe aanbiedingen per e-mail mogen worden toegestuurd. Om een bestelling af te ronden moet een particulier akkoord gaan met de algemene voorwaarden. Daarin staat dat de gegevens in overeenstemming met de AVG worden verwerkt en dat de browser fingerprint data uit de webshop gebruikt kan worden om specifieke aanbiedingen te doen in de webshop.
Uit dit voorbeeld kunnen we de volgende verwerkingsdoelen afleiden:
- Informatie over bestellingen (zoals bevestiging en verzendindicatie) aan de klant door te geven
- De facturatie en de bijbehorende boekhouding te kunnen uitvoeren
- Verzending van de goederen te kunnen uitvoeren
Dit valt onder grondslag nummer 2, het kunnen uitvoeren van een overeenkomst.
2. Deelname aan de mailinglijst:
- Het kunnen toesturen van advertenties en aanbiedingen, dus direct-marketing
Dit valt onder grondslag nummer 1. Het vinkje dat de gebruiker moet aanvinken om de nieuwsbrief te ontvangen verraadde dit al. Want ondanks de verleende toestemming voor de verwerking van zijn gegevens voor het kunnen doen van een bestelling, moet de klant specifiek instemmen met het ontvangen van een nieuwsbrief. Ander doel, andere toepassing.
Toestemming intrekken
Bij het geven van toestemming is er nog een interessant aspect: net zo makkelijk als die wordt gegeven, moet de toestemming ook weer zijn in te trekken. In het geval van een nieuwsbrief gaat dit meestal via een unsubscribe-/uitschrijven-link, ergens onderaan de nieuwsbrief. Maar in andere gevallen kan dat best lastiger zijn; bij veel webshops kun je een account aanmaken waarin je dit zou moeten kunnen regelen.
In vrijheid toestemming verlenen
In het voorbeeld noemen we heel specifiek algemene voorwaarden waarin terloops wordt benoemd dat het profiel van gebruiker van de webshop wordt opgeslagen en gebruikt. Doordat dit in de algemene voorwaarden is vastgelegd heeft de klant geen vrije keus om zich te onttrekken aan de profilering om toch iets te kunnen bestellen. Met andere woorden: wil je iets bestellen, dan moet je er mee instemmen dat je gegevens gebruikt kunnen worden om je (andere) aanbiedingen te kunnen doen.
Er is echter in de AVG uitdrukkelijk benoemd dat er in vrijheid gekozen moet kunnen worden, zonder onredelijk impact op de dienstverlening. Dat is hier niet zo. De verplichte instemming met de profilering moet uit de algemene voorwaarden worden gehaald en op een andere manier aan de gebruikers van deze webshop worden aangeboden.
Sowieso moet de toestemming voor het verwerken van persoonsgegevens voor afzonderlijke doelen gescheiden plaatsvinden van het akkoord gaan met andere bepalingen en voorwaarden.
Zie ook: https://gdpr-info.eu/recitals/no-43/
Het profileren van de gebruiker is bedoeld om te kunnen bepalen welke advertenties en aanbiedingen aan die klant kunnen worden gedaan. Dat staat los van de bestelling die hij wil doen in de webshop. En dus is er een aparte toestemming voor nodig (grondslag 1).
Vastleggen van toestemming
Als verantwoordelijke voor gegevensverwerking moet je kunnen aantonen dat een gebruiker van je webshop toestemming heeft verleend voor de diverse verwerkingsdoelen. Ook als die toestemming is ingetrokken moet je daarvan een registratie bijhouden, zodat je kunt aantonen dat eerdere verwerking wel met toestemming is uitgevoerd.
Kleine ondernemingen
Tenzij die kleine onderneming:
- Veelvuldig geautomatiseerde verwerking van persoonsgegevens uitvoert (waaronder dus ook de webshop uit het voorbeeld)
- Nieuwe technologie inzet om persoonsgegevens te verwerken
Duidelijk?
Duizelt het je al?? Leuker wordt het niet, inzichtelijker wel! Het is even doorbijten maar het is belangrijk dat je begrijpt welke consequenties de AVG wet- en regelgeving op jouw bedrijfsprocessen heeft.
We helpen je graag op weg met de onderstaande flyer, waarin nog eens overzichtelijk is weergegeven hoe het zit.
