Blog

De AVG-wetgeving in een notendop

Stach Redeker houdt een laptop met het Google logo vast

Privacy is een gebied waar bedrijf en consument loodrecht tegenover elkaar staan: het bedrijf wil zoveel mogelijk zieltjes winnen, om uiteindelijk zoveel mogelijk producten of diensten te verkopen. De consument wil het liefst niet doodgegooid worden met spammailtjes, telefoontjes en andere ongewenste reclame-uitingen. Om de orde in het wilde westen van de internetreclames te bewaren, kennen Nederland en de Europese Unie een aantal privacywetten, waaronder de cookiewet en de Algemene Verordening Gegevensbescherming (AVG/GDPR). Maar wat vertelt die wetgeving ons als webmensen precies? En hoe kunnen we ervoor zorgen dat onze websites voldoen aan die beruchte AVG?

Die twee vragen ga ik in dit artikel behandelen. Daarnaast geef ik praktische tips om je nieuwsbriefformulieren te verbeteren. Iets wat je direct kunt implementeren in je eigen website. Maar let op! Dit artikel is louter bedoeld als een versimpelde weergave van de ingewikkelde privacywetgeving, voornamelijk de AVG, en niet als juridisch advies. Mocht je op zoek zijn naar een of andere slinkse methode of maas in de wet om tóch potentiële klanten onder te spammen, dan kun je beter deze webpagina verlaten.

Intermezzo 1: AVG en GDPR, wat is het verschil?

GDPR staat voor General Data Protection Regulation en is het Europese equivalent van de Algemene Verordening Gegevensbescherming (AVG) die we in Nederland kennen. Er is geen verschil tussen de AVG en de GDPR. In dit artikel gebruik ik beide termen door elkaar.

Wanneer mag je gegevens verzamelen?

Je mag persoonsgegevens (namen, (e-mail)adressen, foto’s, etc.) verzamelen om de volgende zes redenen:

  1. Je hebt toestemming van de desbetreffende persoon.
  2. Je hebt de persoonsgegevens nodig om een overeenkomst uit te voeren. Je hebt bijvoorbeeld als pakketbezorger het adres van iemand nodig, als je een pakketje wil bezorgen.
  3. Je hebt de data nodig omdat dat wettelijk verplicht is.
  4. Je hebt de data nodig om iemands leven of gezondheid te beschermen, en je kan niet om toestemming vragen.
  5. Je hebt de gegevens nodig om een taak voor ‘het algemene belang’ uit te voeren.
  6. Je hebt een gegronde reden om data te verwerken. Bijvoorbeeld: je hebt de IBAN-nummers van werknemers nodig om loon uit te kunnen betalen.

Voor websites is nummer 1) het meest relevant en daar ga ik dan ook verder in dit artikel op in. Wat is toestemming? Wanneer heb je toestemming? En is die toestemming oneindig geldig?

Intermezzo 2: welke rechten heeft de klant over de data?

De AVG staat vooral bekend om de rechten voor de consument – waarvan het ‘recht om vergeten te worden’ het belangrijkst is. Een artikel over de AVG zonder deze rechten te benoemen, zou niet compleet zijn. Ik behandel de meest voorkomende drie typen rechten hieronder. Wees je ervan bewust dat er nog veel meer zijn, waaronder vrij obscure zoals ‘het recht op dataportabiliteit’.

  1. Het recht op inzage en rectificatie: de consument mag altijd de opgeslagen gegevens inzien, en indien nodig verbeteren of aanvullen.
  2. Het recht om vergeten te worden: de consument heeft het recht om zijn gegevens uit de database te laten verwijderen, indien het niet absoluut noodzakelijk is om deze gegevens op te slaan.
  3. Het recht op bezwaar: de consument heeft het recht om bezwaar te maken tegen enige verdere verwerking van de persoonsgegevens, bijvoorbeeld het blijven ontvangen van een nieuwsbrief.

Wat is toestemming?

De AVG schrijft voor dat toestemming ondubbelzinnig en uit vrije wil gegeven moet zijn. Zomaar aannemen dat iemand akkoord gaat met de verwerking van zijn gegevens, mag dus niet. En de toestemming opnemen in een onoverzichtelijk document met voorwaarden mag ook niet. Daarom het bekende vakje “Ik ga akkoord met [xxx]”. Dat zorgt ervoor dat toestemming ondubbelzinnig wordt verkregen.

Maar hoe zit het met vrije wil? Hoe bepaal je wanneer iemand wordt ‘gedwongen’ om toestemming te geven? Kijk mee naar artikel 7.4 van de GDPR:

“When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.”

In jip-en-janneketaal staat hier: wanneer het verplicht is om persoonlijke gegevens in te vullen die niet relevant zijn voor de desbetreffende dienst, dan is de toestemming niet uit vrije wil verkregen.

En dat is buitengewoon interessant. Laten we onze nieuwe kennis in de praktijk brengen.

“Krijg dit fantastische e-book met 100 manieren om snel geld te verdienen nu gratis!”
[ ] Ik geef toestemming om dit e-book te ontvangen en lid te worden van de nieuwsbrief.

Dit mag niet. “Lid worden van de nieuwsbrief” heeft niets te maken met “gratis e-book ontvangen”. Daarom is dit voorbeeld in strijd met de privacywetgeving.

“Word lid van de nieuwsbrief. Als bedankje zit bij de eerste mail een gratis e-book met 100 manieren om snel geld te verdienen.”
[ ] Ik geef toestemming om dit e-book te ontvangen en lid te worden van de nieuwsbrief.

Dit mag wel. Hier wordt duidelijk dat de primaire dienst de nieuwsbrief is. En daar wordt duidelijk toestemming voor gevraagd. Echter, ook dit toestemmingszinnetje kan nog verbeterd worden. Het is klantvriendelijk – en deels wettelijk verplicht – de klant te informeren wat er precies met de verzamelde data gebeurt.

“Word lid van de nieuwsbrief. Als bedankje zit bij de eerste mail een gratis e-book met 100 manieren om snel geld te verdienen.”
[ ] Ik geef toestemming om EENMALIG dit e-book te ontvangen en lid te worden van de WEKELIJKSE nieuwsbrief. We gebruiken je gegevens uitsluitend voor bovenstaande doeleinden. En we verwerken je gegevens volgens ons privacybeleid.

In het privacybeleid zou tenminste moeten staan welke rechten de consument over zijn data heeft.

Conclusie

In Nederland en de Europese Unie is een aantal privacywetten actief die de consument moet beschermen. In dit artikel hebben we uitgebreid gekeken naar de AVG/GDPR. Er zijn zes situaties waar je gegevens mag verzamelen. Voor ons als webmensen is verzameling na toestemming de belangrijkste situatie. In het laatste deel van dit artikel hebben we besproken dat toestemming ondubbelzinnig en uit vrije wil gegeven moet zijn. Dankzij een voorbeeld hebben we gezien dat een goede formulering van de toestemmingsvraag belangrijk is.

Wil je dat ik een keertje met je meekijk of jouw website aan de AVG voldoet? Neem dan contact met me op.

Meer leesvoer

Website van de Nederlandse overheid over voldoen aan de AVG-wetgeving.
De volledige AVG/GDPR.

Over de auteur

Foto van Stach Redeker

Stach Redeker

Stach Redeker is freelance WordPress-specialist. Hij bouwt sinds 2014 websites en webshops met WordPress. Daarnaast studeert hij Electrical Engineering aan de Universiteit Twente.

Studio Stach