Met de inwerkingtreding op 25 mei 2018 van Verordening 2016/679 betreffende de bescherming van persoonsgegevens (Algemene Verordening Gegevensbescherming – AVG), die de rechten van de burgers op het gebruik van hun gegevens versterkt, is de verzameling en verwerking van persoonsgegevens aanzienlijk veranderd. We bespreken hieronder de voornaamste aspecten van dit vraagstuk.
De filosofie achter de AVG
Met de AVG willen de Europese instellingen de burgers meer controle te geven over de manier waarop bedrijven omgaan met de persoonsgegevens van hun klanten. De Europese visie op de waarde van gegevens steunde altijd al op de noodzaak om de rechten en vrijheden van de burgers te vrijwaren, in tegenstelling tot de situatie in de Verenigde Staten, waar gegevens meer worden gezien als een commerciële waarde, zonder andere overwegingen.
Toestemming als belangrijkste rechtsgrondslag voor de verwerking van persoonsgegevens
De verwerking van de persoonlijke gegevens van de klanten van een bedrijf vereist in de meeste gevallen hun toestemming. Daarom is het niet langer mogelijk om regelmatig berichten van het type “nieuwsbrief” te versturen naar contactpersonen die hier niet om hebben gevraagd, noch om de gegevens te gebruiken voor andere doeleinden dan die waarvoor de betrokken persoon toestemming heeft gegeven.
Vrije en geïnformeerde toestemming
De AVG vereist bovendien de geïnformeerde toestemming van de klant. Deze toestemming moet op een actieve, niet op een passieve, manier worden gegeven. Dit is het bekende “opt-in” principe, waarbij de betrokken persoon vakjes moet kunnen aankruisen. Bijvoorbeeld: “Ik ga ermee akkoord dat mijn gegevens worden verwerkt in overeenstemming met dit privacybeleid” of “Ik wil graag de nieuwsbrief ontvangen”.
Het belang van een duidelijk en pedagogisch ontworpen privacybeleid
Dit alles illustreert het doorslaggevend belang van een privacybeleid waarin de belangrijkste gegevensverwerkingsactiviteiten op een transparante en pedagogisch verantwoorde manier aan gebruikers en klanten worden uitgelegd. Het privacybeleid, dat gemakkelijk op een website kan worden gepubliceerd, stelt de klant in staat om een duidelijk beeld te krijgen van de verwerking van zijn gegevens en om zijn geïnformeerde toestemming te geven, zoals de AVG het vereist. Het privacybeleid behoort zeker niet tot de meest gelezen documenten op een website, maar het is van groot belang dat het bestaat en regelmatig wordt bijgewerkt, aangezien informatie aan de klant over de verwerking van zijn gegevens een wettelijke verplichting is en bovendien de reputatie van het bedrijf ten goede komt. Het niet naleven van de huidige wetgeving spreekt immers boekdelen over de levensvatbaarheid van de onderneming. Een privacybeleid bewijst dat het bedrijf de rechten van klanten serieus neemt.
Hoe de betrokken personen hun rechten onder de AVG kunnen uitoefenen
De AVG geeft de betrokkenen immers een aantal rechten. Zo bijvoorbeeld het recht op toegang tot en rechtzetting van hun persoonsgegevens of het recht om die gegevens te wissen. De klant moet hiervan op de hoogte worden gebracht en in staat zijn een verzoek tot uitoefening van zijn rechten in te dienen. Het bedrijf moet in staat zijn om dit verzoek in te willigen en klanten de gewenste informatie te verstrekken over de verwerking van hun persoonlijke gegevens.
Compliance is dus een groot project, waarvan niet alle aspecten hier werden toegelicht. In ieder geval moet het effect van de naleving op middellange en lange termijn worden gemeten, hetzij om sancties te vermijden, hetzij om de goede reputatie van de onderneming te versterken.