Twinkle | Digital Commerce

Daar is de AVG

2018-05-25
33881906
  • 4:01

25 mei 2018: de dag dat de General Data Protection Regulation, ofwel de Algemene Verordening Gegevensbescherming, in heel Europa van kracht is geworden. Veel retailers schakelden juridisch adviseurs in, e-mailden hun klanten over gewijzigde privacyvoorwaarden en vroegen zich ondertussen af of ze compliant genoeg zijn.

Twinkle sprak met advocaat Thomas van Essen, partner bij Solv en specialist in onder andere e-commerce, privacy en big data.

In het kort: wat is er veranderd?

‘Het fundament van de AVG is niet zo verschillend van de Wet Bescherming Persoonsgegevens. Wat onder begrippen als “persoonsgegeven”, “verwerkingsverantwoordelijke” en “verwerken” verstaan wordt, is ook daarin al vastgelegd; zelfs de rechtsgronden waarop je gegevens mag verwerken zijn min of meer gelijk gebleven. De wettelijke basis is dus niet echt veranderd, maar de buitenlaag is nieuw. Het komt hierop neer: meer transparantie, meer rechten voor de betrokken datasubjecten – je klanten – en dus meer administratieve lasten, omdat je je datahuishouding moet vastleggen en schriftelijk moet kunnen aantonen dat je als webwinkelier in control bent van de data die je in handen hebt.’

Volgens Europese verordeningen moeten ondernemers uiterlijk 25 mei AVG-proof zijn. Maar is het Nederlandse wetboek inmiddels up-to-date?

‘De AVG is geen Europese richtlijn, maar een Europese verordening. Het verschil daartussen is dat een richtlijn eerst moet worden omgezet in Nederlandse wetgeving; een verordening geldt rechtstreeks voor Nederland. Er komt nog wel een uitvoeringswet, waarin regels worden neergelegd om de AVG te laten landen binnen het Nederlandse rechtssysteem en waarin zaken worden geregeld waarbij de AVG ruimte biedt voor lidstaten om zelf uit te werken.’ [Op het moment van schrijven is de uitvoeringswet goedgekeurd door de Tweede Kamer, maar nog niet definitief van kracht, red.]

Waar lopen de meeste bedrijven tegenaan wanneer ze aanpassingen voor de AVG doorvoeren?

‘Zoals meestal gaan bij veel partijen pas in een later stadium de ogen open. De AVG bevat redelijk wat open normen. Het is daarom aan ondernemers om daar invulling aan te geven. Dat wordt door veel partijen als lastig ervaren, gelijk ook de reden dat ze niet of niet bijtijds begonnen zijn: omdat ze niet weten wáár ze moeten beginnen, hoe ze het moeten aanvliegen. Dat bezwaar hoor ik het vaakst van mijn cliënten. Dat snap ik ook wel, er heerst nog veel onduidelijkheid. Inmiddels haken Europese instanties erop in. Zo is er de zogenoemde Artikel 29-werkgroep, waarin alle privacytoezichthouders van Europese lidstaten vertegenwoordigd zijn. Zij publiceren opinies over begrippen en onderwerpen uit de AVG, zoals het begrip “toestemming” of “transparantie”, over dataportabiliteit en de functionaris voor de gegevensbescherming.’

Inmiddels is het één over twaalf. Bij welke AVG-aanpassing moet je als retailer nú prioriteit leggen?

‘Als je nu begint, ben je waarschijnlijk te laat, laten we dat voorop stellen. Toch is het aan te raden compliance met de AVG grondig aan te pakken, omdat je er nog vele jaren mee verder moet. Idealiter start je met een nulmeting, een inventarisatie van je privacybeleid. Je vraagt je daarbij af: wat voor persoonsgegevens verwerk ik allemaal, wat voor datastromen lopen er binnen mijn organisatie? Natuurlijk die met klantgegevens, maar denk ook aan je HR-kant; van de mensen die je in dienst hebt, staan ook persoonsgegevens opgeslagen. Ik ga zelf vaak met organisaties in gesprek om te kijken welke datastromen er zijn en hoe de IT-infrastructuur eruitziet. Welke gegevens krijg je binnen, wat doe je daarmee en met welke doelen? Denk ook na over derde partijen die er toegang toe hebben: vaak werken organisaties met ondersteunende partijen, de verwerkers. Op basis daarvan maak je een risicoanalyse voor je bedrijf en stel je actiepunten op. De belangrijkste actiepunten krijgen de hoogste prioriteit. Het is dus niet raadzaam lukraak een paar zaken op te pakken: het is een proces met een stappenplan.’

Is het vandaag erop of eronder, of knijpen handhavende instanties nog een oogje toe?

‘Natuurlijk zijn de boetebevoegdheden aanzienlijk uitgebreid: de Autoriteit Persoonsgegevens (AP) kan hoge boetes opleggen, tot wel 20 miljoen euro of 4 procent van je wereldwijde omzet, afhankelijk van het artikel dat je overtreedt. Een boete is echter het ultieme handhavingsinstrument voor de AP en geen doel op zich. Het is voor de AP van belang dat de markt klaargestoomd wordt voor de AVG. Het is in dat kader niet logisch dat de AP overal torenhoge boetes gaat uitdelen. Wat mensen vaak niet begrijpen, is dat de juridische exercitie rondom de AVG niet éindigt op 25 mei, maar juist begint. De Wet Bescherming Persoonsgegevens bestaat dit jaar zeventien jaar en het is de bedoeling dat de AVG ook zo lang mee gaat, misschien nog wel langer. Het hebben van een dergelijk plan is geen excuus om op 25 mei niet aan de AVG te voldoen, maar zo toon je de AP dat je in elk geval over de te nemen stappen hebt nagedacht. Gezien het feit dat de AVG deel blijft uitmaken van de bedrijfsvoering, is het weinig zinvol hem louter als een irritante juridische horde te zien. Het zou beter zijn het als een opportunity te benaderen, als jouw USP. Consumenten vinden het fijn als je hun privacy serieus neemt, dat kweekt vertrouwen. Je moet in staat kunnen zijn om tegen klanten te zeggen: “Wij zijn AVG-compliant, wij voldoen aan de wetgeving”, eigenlijk exact zoals de AVG beoogt: transparantie naar je bezoekers.’