Wat iedereen in B2B moet weten over de AVG / GDPR

Wat iedereen in B2B moet weten over de AVG / GDPR

De nieuwe wetgeving rondom de AVG (Algemene Verordening Gegevensbescherming) of GDPR in het Engels heeft nogal wat voeten in de aarde. Dat is ook niet zo gek omdat het om complexe, juridische, materie gaat die bovendien flinke gevolgen kan hebben als jouw bedrijf niet voldoet aan deze wetgeving.

In ons jaarlijkse B2B marketing onderzoek vroegen we B2B marketeers of hun bedrijf al klaar is voor de GDPR-wetgeving. Van de marketeers gaf 25 procent aan dat hun bedrijf al klaar is voor de GDPR-wetgeving en nog eens 50 procent gaat dit oppakken voordat de wet officieel ingaat. Daarnaast staat de strategische focus op de GDPR-wetgeving op de vierde plek:

Maar hoe kun je de AVG/GDPR praktisch oppakken voor jouw bedrijf? Wat zijn de tips en de aandachtspunten? In dit artikel geven we je handvatten om direct mee aan de slag te gaan.

Een kleine disclaimer vooraf: dit artikel beschrijft onze kijk op de AVG/GDPR, wij zijn geen juristen dus je kunt dit artikel niet als juridisch advies interpreteren. Neem contact op met een gespecialiseerde juridische adviseur om de impact van de AVG op jouw bedrijf in kaart te brengen.

Tip: Bekijk ook de uitgebreide video over de AVG/GDPR met concrete tips om jouw bedrijf klaar te maken voor deze wetgeving.

Wat is de AVG/GDPR?

AVG, oftewel Algemene Verordening Gegevensbescherming is een vervangende wet voor de Wet bescherming persoonsgegevens (Wbp) en geldt voor alle bedrijven en organisaties. De Engelse afkorting voor AVG is General Data Protection Regulation (GDPR).

Deze wet heeft als doel om de privacygevoelige gegevens die organisaties bezitten te beschermen. Op dit moment is er een overgangsperiode, maar vanaf 25 mei 2018 volgen daadwerkelijk sancties als bedrijven niet voldoen aan deze wetgeving. Het is dus van groot belang dat jouw bedrijf ook voldoet aan deze nieuwe wet.

De reden dat de EU deze wetgeving nu invoert, is het feit dat de oude wetgeving niet meer up-to-date is. De EU-privacywetgeving was namelijk gebaseerd op een document dat in 1980 is aangenomen en in 1995 is aangepast. In die tijd is er een hoop veranderd op het gebied van gebruik van internet, sociale media en smartphones.

Verschillende soorten persoonsgegevens

Onder de AVG moet expliciete toestemming zijn gegeven voor het verzamelen van persoonsgegevens. Wat onder persoonsgegevens valt is met de GDPR/AVG aangescherpt:

  • Persoonsgegevens: NAW-gegevens, telefoonnummer, e-mailadres, geboortedatum maar ook GPS locatiegegevens en device-ID van een telefoon.
  • Pseudo-anonieme gegevens: zijn niet (direct) herleidbaar naar een persoon zonder aanvullende gegevens te gebruiken. Ze zijn te herleiden tot een individu maar niet direct tot een te herkennen persoon. Denk hierbij aan: IP-adres, hashed e-mailadres, order ID, gebruikers ID, klant ID, data via tracking scripts zoals bijv. Google Analytics.
  • Anonieme gegevens: deze vallen buiten de AVG.

Persoonsgegevens en pseudo-anonieme data kun je met expliciete toestemming gebruiken voor duidelijk gespecificeerde, expliciete en rechtmatige doelen en deze mag je niet verder verwerken op manieren die niet verenigbaar zijn met deze doelen.

Officieel mag je dus niet zomaar tracking gebruiken op je website en moet je duidelijk aangeven welke data wordt verzameld en voor welke doelen je deze vervolgens gebruikt.

De vijf belangrijkste pijlers van de AVG

De belangrijkste vernieuwingen rondom de AVG zijn in deze vijf pijlers op te delen:

1. Transparantie

Bedrijven moeten betrokkenen informeren over hoe je de persoonsgegevens verzamelt en verwerkt. Daarnaast moet je dit op een begrijpelijke manier communiceren.

2. Verantwoording

Er is meer nadruk op de verantwoordelijkheid van bedrijven om zelf aan te kunnen tonen dat zij zich aan de wet houden. Bedrijven hebben een documentatieplicht, een bewijsplicht en de verantwoordelijkheid om privacyrisico’s terug te dringen met betrekking tot persoonsgegevens.

3. Consumentenrechten

  1. Het recht om de eigen gegevens in te zien, te corrigeren of te verwijderen.
  2. Het recht om eigen persoonsgegevens op te vragen in een toegankelijk bestandsformaat (bijv. Excel) en deze over te dragen aan andere bedrijven.
  3. Het recht om vergeten te worden: bedrijven moeten persoonsgegevens wissen als de persoon hierom vraagt. Dit dient per direct te gebeuren en uiterlijk binnen een maand. Let op: dit geldt ook voor data die inmiddels is gedeeld met derde partijen.

4. Meldplicht bij datalekken

Bedrijven zijn verplicht om binnen 72 uur een datalek te melden, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen waarover de gegevens zijn verzameld.

5. Privacy by design en privacy by default

Bij privacy by design zorg je ervoor dat bij de ontwikkeling van nieuwe producten of diensten er standaard technisch en organisatorisch zorgvuldig met persoonsgegevens om wordt gegaan. Privacy by default betekent dat je maatregelen neemt om standaard alleen de noodzakelijke gegevens te verzamelen voor het doel waarvoor je ze verzamelt.

Zijn er verschillen tussen B2B of B2C persoonsgegevens?

Nee, de wetgeving geldt zowel voor B2B als B2C. De DDMA schrijft hierover: B2B-gegevens, zoals bijvoorbeeld een zakelijke e-mailadres, kan een persoonsgegeven zijn. Het risico op klachten van mensen bij de Autoriteit Persoonsgegevens (AP) lijkt hierover lager omdat een zakelijke e-mailadres minder invloed heeft op iemands persoonlijke leven dan bijvoorbeeld een privé mobiel telefoonnummer. De impact op de privacy is doorgaans wat lager maar de privacywetgeving blijft van toepassing als het persoonsgegevens betreft.

Hoe zit het met ‘oude’ gegevens van voor de invoering van de AVG?

Voor jouw oude gegevens is de AVG met terugwerkende kracht van toepassing op de persoonsgegevens die je nu hebt verzameld. Echter, je mag persoonsgegevens zonder toestemming verwerken als jouw belang zwaarder weegt dan het privacybelang van de persoon.

Het gaat hier om de juridische term ‘gerechtvaardigd belang’. Hierin weeg je de privacy schade van de persoon af tegen jouw marketingbelang. Het versturen van een nieuwsbrief naar een e-mailadres zorgt hierbij voor een beperkt risico met betrekking tot de privacy van de persoon. Jouw belang is hierdoor in veel gevallen zwaarder en dit zou kunnen betekenen dat een rechter waarschijnlijk (!) jou in het gelijk zal stellen.

Wil je geen enkel risico lopen op overtreding? Zorg dan dat je ook expliciete toestemming vraagt aan de oude contacten voor het doel waarvoor je ze wilt benaderen.

Daarnaast is het ook aan te raden om een scheiding tussen klanten en overige relaties aan te maken. Je kunt namelijk bij een koopovereenkomst proactief inschrijven voor mailings waarin je communiceert over voor hen relevante producten of diensten. Zolang de klant zich hier niet van heeft uitgeschreven.

Hoe interpreteer je de AVG nu voor jouw bedrijf?

De GDPR is door de EU samengevat in een flink pak regels. We zijn niet allemaal jurist en het is daardoor lastig om deze juridische taal te begrijpen. Dus doet de EU een flink beroep op het gezonde verstand van de verantwoordelijke personen hiervoor bij bedrijven: de concrete invulling is in veel gevallen (nog) niet helemaal duidelijk.

Dit zorgt ervoor dat er veel onzekerheid onder marketeers aanwezig is. Maar met gezond verstand kom je een heel eind:

Stel een verwerkingsregister op

Het verwerkingsregister is een nieuwe verplichting met ingang van de AVG. Dit document is de centrale plek waarin iedere verwerking van persoonsgegevens moet zijn gedocumenteerd.

In het register staat informatie over de verwerking, zoals contactgegevens van de verantwoordelijken en verwerkers, de doeleinden van de verwerking en categorieën van persoonsgegevens. Dit register moet de verantwoordelijke en de verwerker opstellen en dient altijd up-to-date te zijn. Hiervoor kun je een eenvoudig Excel bestand gebruiken.

Hoe je een verwerkingsregister zelf opzet, staat in deze praktische uitleg.

Formulieren op je site

Vrijwel alle formulieren op je website vragen naar persoonsgegevens. Denk aan NAWT-gegevens voor contact- of offerteformulieren of het e-mailadres voor een inschrijving op je nieuwsbrief.

De AVG vereist dat je deze gegevens versleuteld verstuurd via HTTPS/SSL in het kader van privacy by design/default. Daarnaast mag je niet meer gegevens vragen dan noodzakelijk is voor het doel van de gegevensverwerking. Als laatste dien je ook op te slaan wie de toestemming heeft gegeven en waarvoor en wanneer dit is gedaan.

Wil je daarnaast ook telefonisch contact opnemen met de persoon die je formulier heeft ingevuld? Vraag hier dan ook toestemming voor.

Overigens, als je persoonsgegevens niet online maar bijvoorbeeld via een seminar of beurs verzamelt dan geldt de AVG wetgeving ook. Zorg dat je expliciete toestemming krijgt om de persoonsgegevens te verwerken.

En als een persoon voor een langere tijd – volgens de AVG is dit na 24 maanden – geen interactie met jouw bedrijf heeft, dan zul je opnieuw toestemming moeten vragen. Een interactie kan dan zijn het openen van een verstuurde e-mail.

Opt-ins voor e-mailmarketing

Waar je voorheen het vinkje standaard aan had staan om toestemming te geven om een bezoeker in te schrijven op je nieuwsbrief, kan dit nu niet meer. Het vinkje moet standaard uit staan.

Geef in de tekst bij het fomulier ook duidelijk aan waarvoor en hoe vaak je het e-mailadres gaat gebruiken. Bijvoorbeeld op deze manier: “Voor het downloaden van het whitepaper vragen we om je e-mailadres, zodat we je 2x per maand relevante informatie over B2B marketing kunnen sturen. Zo mis je nooit iets. Je e-mailadres slaan we alleen voor dit doel op en nergens anders voor. Meer informatie over het verwerken van jouw data vind je in onze privacyverklaring.”

In onderstaand voorbeeld van Clever Touch is dit ook heel duidelijk verwerkt. Het formulier met een hele grote checkbox om toestemming te geven ziet er zo uit:

En als je vervolgens met je muis klikt op het vraagteken, dan zie je onderstaande tekst waarin de uitleg van de toestemming staat:

Uiteraard maak je daarnaast gebruik van een duidelijke afzender, een e-mailadres waarop gereageerd kan worden (niet een no-reply adres) en een duidelijke opt-out om af te melden van jouw mails. Dit mag inmiddels niets nieuws meer zijn ?

Expliciete toestemming geven voor cookies: gebruik een cookiebar

Bij het bezoeken van jouw website, krijgt de bezoeker cookies voor verschillende doelen: o.a. om de site te gebruiken, voor analytics en voor marketing. Een groot deel van deze cookies mag jouw website niet zomaar plaatsen, er zal wederom expliciete toestemming nodig zijn van de bezoeker.

Een cookiebar met daarin ‘Wij gebruiken cookies om je een optimale gebruikerservaring te bieden’ mag niet meer: er moet eerst toestemming verkregen worden van de bezoeker voor het plaatsen van specifieke cookies. De bezoeker moet hierin ook een keuze kunnen maken. Daarnaast mag de cookiewall die veel nieuwsmedia gebruiken ook niet meer.

Voor functionele cookies om je site naar behoren te laten functioneren, hoef je geen toestemming te vragen. Maar voor marketing cookies (o.a. voor sociale media platformen, personalisatie etc.) en de meeste analytics cookies heb je wel expliciete toestemming nodig. Je kunt hiervoor een cookiebar (ook wel cookie banner of cookie consent oplossing genoemd) gebruiken.

Cookie consent oplossingen

Onder GDPR moet je kunnen aantonen dat alle gebruikers die je volgt en profileert hiermee hebben ingestemd. We hebben verschillende oplossingen getest en zijn erg tevreden over CookiePro, Cookiebot en Cookieinfo.

Deze oplossingen registreren de toestemmingen voor cookies van jouw bezoekers en houden bovendien ook nog eens alle toestemmingen bij. Op deze manier heb je toegang tot het bewijs van toestemming in het geval van een audit. Daarnaast genereert deze software automatisch elke maand een up-to-date cookie beleidspagina op basis van de specifieke trackingtechnologieën die op jouw site zijn ingeschakeld.

Gemiddeld verandert meer dan 30% van alle cookies en trackingtechnologieën elke maand. Daarom is een van de belangrijkste vereisten van de EU-regelgeving dat je volledig op de hoogte bent van alle cookies en trackers op jouw website. Bovengenoemde software helpt je daarbij: je krijgt elke maand een rapport met daarin de cookies die op jouw site zijn gevonden.

En hoe zorg je uiteindelijk met een cookiebar voor toestemming? Dit doe je door gebruik te maken van een verleidende tekst zoals je hieronder kunt zien:

Privacy vriendelijk maken van Google Analytics

De impact van de AVG blijft redelijk beperkt als je geen profilering toepast (zoals remarketing, websitepersonalisatie, profielen opbouwen van je bezoekers door middel van segmenten) en alleen cookies plaatst van je webanalytics-pakket zoals Google Analytics. Je kunt dan de zes stappen in dit artikel doorlopen. Meer informatie hierover vind je in deze handleiding (PDF) van de Autoriteit Persoonsgegevens.

Overigens, als je Google Analytics op deze manier configureert dan moet je nog steeds een cookiemelding tonen en toestemming vragen voor het plaatsen van de Google Analytics cookies.

Online adverteren via o.a. Google AdWords

Veel B2B marketeers maken gebruiken van zoekmachine-advertenties. Hierbij verschijnen op basis van vooraf opgegeven zoekwoorden in de zoekmachines van Google en Microsoft advertenties via AdWords of BingAds. De AVG/GDPR is hier niet direct op van toepassing en kun je dus blijven inzetten.

Echter, voor conversietracking in AdWords en BingAds zul je als adverteerder toestemming moeten vragen omdat hiervoor marketingcookies geplaatst worden.

Remarketing

Om bezoekers weer terug te halen naar je website, kun je remarketing inzetten. Remarketing kan via Google, Facebook of LinkedIn en daarvoor heb je altijd een cookie nodig en daardoor ook expliciete toestemming.

Als je meer wilt weten dan vind je uitgebreide informatie over andere vormen van online adverteren en de AVG in dit artikel.

Tip: Bekijk ook de uitgebreide video over de AVG/GDPR met concrete tips om jouw bedrijf klaar te maken voor deze wetgeving.

Update je privacyverklaring en cookieverklaring

De privacyverklaring en de cookieverklaring zijn de bron waarmee je jouw websitebezoekers informeert over het verwerken van hun persoonsgegevens binnen jouw bedrijf.

In de privacyverklaring communiceer je aan de bezoekers van jouw website hoe je hun persoongsgegevens verwerkt en met welk doel. Zorg ervoor dat de privacyverklaring voldoet aan de volgende kenmerken:

  • beknopte en transparante informatie
  • in duidelijke en begrijpelijke taal geschreven
  • gemakkelijk toegankelijk

Hieronder een overzicht van de informatie die jouw privacyverklaring moet bevatten:

  • Doel voor de verwerking en de rechtsgronden voor de verwerking
  • De bewaartermijn van data voor verschillende persoonsgegevens
  • Opt-in- en opt-out-mogelijkheden
  • Recht op inzage, wijziging, verwijdering en overdragen van de gegevens
  • Klachtrecht bij de Autoriteit Persoonsgegevens

En indien van toepassing:

  • Vermelding van de bedrijven waarmee je data deelt
  • Welke profilering plaatsvindt
  • Als je een privacy officer hebt (zie verderop in dit artikel) vermeld je de naam en de contactgegevens van deze persoon

Meer informatie over wat er precies in jouw privacyverklaring moet komen te staan vind je bij Charlotte’s Law.

Verder vind je een voorbeeld van een privacyverklaring hier bij Teamleader. En in deze privacyverklaring vind je ook de bewaartermijn terug van formulieren.

In je cookieverklaring geef je vervolgens aan welke cookies je waarvoor gebruikt en hoe lang deze bewaard blijven. Daarnaast is het handig om de cookies in verschillende categoriën in te delen zodat je websitebezoeker beter begrijpt wat voor soort cookies jouw website gebruikt. Bijvoorbeeld: functionele, marketing, analytische of sociale media cookies. En wil je de cookieverklaring automatisch genereren? Dat kan ook met bijvoorbeeld de oplossing van CookieInfo. Zie voor een voorbeeld van een cookieverklaring onze cookieverklaring.

Verwerkersovereenkomst afsluiten met leveranciers en afnemers

Waarschijnlijk werk je samen met leveranciers die persoonsgegevens verwerken. Voorbeelden hiervan zijn Mailchimp, online boekhoud-software en de software van Online Succes maar ook jouw (online) marketingbureau.

Een bewerkersovereenkomst is wettelijk verplicht als een bedrijf het verwerken van persoonsgegevens bij een ander bedrijf wil uitbesteden. Hiermee leg je onder meer vast voor welk doel de gegevens verwerkt worden, welke beveiligingsmaatregelen nodig zijn en een geheimhoudingsplicht.

Een voorbeeld van een verwerkersovereenkomst vind je hier (PDF).

Controleer of je een privacy officer nodig hebt

Een privacy officer, ook wel functionaris voor gegevensbescherming (FG), is een onafhankelijke persoon die binnen jouw bedrijf moet toezien op het naleven van de AVG. Een privacy officer is verplicht wanneer jouw bedrijf op grote schaal gevoelige persoonsgegevens verwerkt zoals gezondheidsgegevens of religieuze gegevens, of als je structureel individuen observeert. Ga binnen jouw bedrijf na of je een privacy officer nodig hebt.

Data Protection Impact Assessment (DPIA)

De Nederlandse vertaling voor een Data Protection Impact Assessment (DPIA) is een gegevensbeschermingseffectbeoordeling. Deze beoordeling is bedoeld om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en de risico’s hiervan te verkleinen door aanpassingen te doen.

Je moet een DPIA uitvoeren bij verwerkingen van persoonsgegevens die mogelijk een groot privacy risico met zich meebrengen. Ga hier na of dit voor jouw bedrijf geldt.

Online Succes en de AVG

Met de software van Online Succes krijg je inzicht in welke bedrijven en personen jouw website bezoeken. Het goede nieuws is dat de software geen persoonsgegevens verzamelt bij het herkennen van bedrijven waardoor dit onderdeel geen gevolgen heeft in het kader van de AVG.

Voor het herkennen van personen hebben we enkele wijzigingen doorgevoerd, hierover verderop meer.

Mag je herkende bedrijven nog wel benaderen via de telefoon?

Ja, telefonische acquisitie mag nog steeds onder de AVG. De algemene bedrijfsgegevens zijn namelijk geen persoonsgegevens. En als je de naam hebt van een persoon die je bij een bedrijf wilt bellen dan kun je gewoon het algemene telefoonnummer bellen en vragen naar deze persoon.

Bij Charlotte’s Law kun je meer uitleg over koude acquisitie en de AVG vinden.

Wat zijn de aanpassingen in de software van Online Succes voor de AVG?

Voor het herkennen van personen maken we o.a. gebruik van cookies en is er wel een aantal wijzigingen die we doorvoeren om in overeenstemming te zijn met de AVG:

Contactgegevens inzien

Een onderdeel van de AVG wet is dat jouw contactpersonen het recht hebben hun gegevens in te zien. In Online Succes staat de informatie van je contacten vastgelegd in de contactkaart, zoals naam, e-mailadres, sociale media profielen, maar ook de interacties met je website (bijvoorbeeld download van een whitepaper) en welke pagina’s het contact bezocht. Online Succes heeft nieuwe functionaliteit ontwikkeld die het voor herkende contactpersonen mogelijk maakt om hun profiel digitaal in te zien.

Contactgegevens wijzigen of verwijderen

Naast het inzien van persoonsgegevens kunnen contacten volgens de vernieuwde wetgeving je ook vragen hun gegevens aan te passen en/of te verwijderen. Het was al mogelijk om de gegevens van een contact te exporteren. We hebben nu ook nieuwe functionaliteit toegevoegd die het voor herkende contactpersonen mogelijk maakt om hun profiel zelfstandig te wijzigen en eventueel te verwijderen.

Verwerkersovereenkomst

Online Succes slaat informatie van je contacten op in een contactkaart. Volgens de nieuwe wetgeving valt Online Succes hiermee in de categorie ‘verwerker’. In onze software is het mogelijk om een verwerkersovereenkomst digitaal te tekenen.

Cookie consent vriendelijk Online Succes script

Het standaard Online Succes script plaatst een cookie genaamd logger en stelt je in staat contacten te herkennen. Dit cookie wordt o.a. gebruikt voor personalisatie en lead scoring en valt daarmee in de marketing categorie. Echter, niet elke bezoeker geeft zijn / haar consent om marketing cookies te plaatsen. Het standaard script wordt in dat geval niet geladen en hierdoor herkent de software mogelijk minder bedrijven dan gewenst, terwijl voor bedrijven herkenning geen cookie en consent nodig is! Gelukkig is hier een oplossing voor: configureer het standaard script om geen cookie te plaatsen. Op deze manier kun je de bedrijven herkenning altijd inzetten. Wanneer de bezoeker consent geeft voor marketing cookies, schakel je vervolgens via jouw cookie consent oplossing om naar het script dat het logger cookie plaatst. In ons helpcentrum lees je precies hoe je dit configureert.

Bovenstaande aanpassingen zijn voor al onze klanten beschikbaar. Meer informatie vind je in de AVG sectie in ons helpcentrum.

Stappenplan

Hieronder vind je een samenvatting van de stappen uit dit artikel die je moet nemen om jouw bedrijf voor de AVG in overeenstemming te krijgen:

  • Inventariseer welke persoonsgegevens jouw bedrijf gebruikt en met welk doel en gebruik dit als input voor jouw verwerkingsregister
  • Zorg dat alle formulieren op je site voorzien zijn van expliciete toestemmingsmogelijkheden voor het doel waarvoor je de gegevens vraagt. Maak daarnaast gebruik van SSL en sla deze gegevens ook op.
  • Controleer of de oude persoonsgegevens die je al hebt verzameld ook toestemming hebben gegeven om ze te benaderen via bijvoorbeeld e-mail. Weegt de privacy van de betrokkene zwaarder dan jouw marketingdoel? Vraag dan opnieuw toestemming of zorg dat je ze niet meer benadert.
  • Verkrijg inzicht in de cookies die via jouw site geplaatst worden via een scan door CookieInfo en plaats een cookieverklaring op je website.
  • Maak gebruik van een cookiebar om expliciete toestemming te verkrijgen voor het plaatsen van cookies.
  • Zorg dat de privacyverklaring op je website aangepast is.
  • Controleer of je Google Analytics instellingen moet aanpassen.
  • Sluit verwerkersovereenkomsten af met leveranciers en afnemers.
  • Stel procedures op en neem technische maatregelen om de rechten van de personen waarvan je persoonsgegevens verwerkt, uit te kunnen voeren. Denk hierbij aan: recht op inzage, wijziging, vergeten te worden en het overdragen van deze gegevens.
  • Controleer of je een privacy officer nodig hebt.
  • Wanneer je de Online Succes software gebruikt, doorloop dan tevens de stappen uit dit artikel.

Conclusie

De invoering van de AVG/GDPR is complexe materie en het is meestal flink wat werk om jouw bedrijf of website in overeenstemming te krijgen met deze wetgeving. In dit artikel heb je uitgebreide, praktische handvatten gekregen hoe je hier zelf mee aan de slag kunt gaan voor jouw bedrijf. Zoals gezegd, zijn wij geen juristen dus neem ook contact op met een gespecialiseerde juridische adviseur om de impact van de AVG op jouw bedrijf in kaart brengen.

Ik ben benieuwd naar jouw ervaring met betrekking tot het implementeren van de AVG. Heb je nog andere tips of opmerkingen? Ik lees ze graag, deel ze in de reacties hieronder!

Jij bent er toch ook bij?

Al ruim 5.000 professionals ontvangen maandelijks onze blogs.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Alex is oprichter van Online Succes. Hij helpt bedrijven te groeien door vragen te stellen en zijn kennis te delen.

2 Reacties

  1. Christiaan 5 jaar geleden

    Er staat in dit artikel een veel voorkomende fout waar veel organisaties de mist mee in gaan, namelijk dat er expliciet toestemming gegeven moet worden voor het verzamelen van persoonsgegevens. Dit is onjuist.

    De AVG kent 6 grondslagen waarmee de verwerking van persoonsgegevens rechtmatig gemaakt kan worden. Deze staan beschreven in artikel 6 van de AVG en ik heb ze hier even opgesomd: 1. Toestemming, 2. Contractuele overeenkomst, 3. Wettelijke verplichting, 4. Vitaal belang, 5. Algemeen belang en 6. Gerechtvaardigd belang.

    Als je dus een dienstverlener bent en je hebt persoonsgegevens nodig om de overeenkomst uit te voeren, heb je daar niet expliciet toestemming voor nodig. Dit is van zichzelf al een rechtmatige verwerking.

    Als iemand een hartaanval krijgt in de tram gaat een omstander of het ambulancepersoneel niet eerst vragen ‘mag ik uw toestemming?’. Dan valt de verwerking onder ‘Vitaal belang’.

    Ik hoop dat het nu iets duidelijk is. Er is dus niet altijd expliciet toestemming nodig voor het verwerken van persoonsgegevens.

    • Auteur
      Alex Vermeule 5 jaar geleden

      Dank voor je nuancering en uitgebreide reactie Christiaan, zeer gewaardeerd!

Wat zijn jouw gedachten over dit artikel? Deel ze hier met andere lezers!

Voel je vrij te reageren, jouw e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*