Algemene verordening gegevensbescherming (AVG)

Door toenemende digitalisering, is het steeds vanzelfsprekender om allerlei persoonlijke gegevens uit te wisselen met diverse partijen. Vaak bewust, maar ook vaak onbewust, zoals sociale media die allerlei persoonlijke informatie verzamelen, verwerken en doorverkopen aan andere partijen. Hierdoor worden consumenten zich steeds meer bewust van hun privacy: niet iedereen hoeft alles te weten. Mogen partijen wel alles van u weten en dat met iedereen delen? Op Europees niveau zijn privacyregels opgesteld. De regels zijn op 25 mei 2018 ingegaan.

Europese verordening

Sinds 1995 is er al een Europese privacyrichtlijn. Die was dringend aan vervanging toe. Op 4 mei 2016 is de richtlijn vervangen voor een verordening, die 20 dagen later is gepubliceerd: de General Data Protection Regulation (GDPR). In het Nederlands heet dit de Algemene Verordening Gegevensbescherming (AVG). Wij gebruiken hier alleen de afkorting AVG. Sinds 25 mei 2018 moet elke organisatie binnen de Europese lidstaten voldoen aan deze AVG. Met de invoering van de AVG is de Wet bescherming persoonsgegevens (Wbp) vervallen.

Versterking privacyrechten

Eén van de pijlers van de AVG is dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Dit uit zich onder meer in de volgende uitbreidingen van hun rechten:

  • Toestemmingsvereiste
    Organisaties moeten bewijzen dat zij toestemming hebben voor het verwerken van de persoonsgegevens van mensen. Bovendien kan die toestemming net zo makkelijk weer worden ingetrokken, als die eenmaal is gegeven. Het kan zo zijn dat een organisatie een andere (limitatief benoemde) ‘verwerkingsgrond’ heeft: een bepaalde reden om gegevens te verwerken, bijvoorbeeld omdat dit wettelijk is verplicht of omdat het noodzakelijk is voor de te verlenen dienst. In die gevallen is schriftelijk bewijs van toestemming niet altijd nodig.
  • Recht op vergetelheid
    Mensen hebben bovendien het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Een klant kan nu eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
    Uiteraard betekent het recht om te vragen om verwijdering niet, dat de organisatie deze verwijdering ook altijd kan doorvoeren. Op de uitzonderingen komen we later terug.
  • Recht op dataportabiliteit
    Mensen mogen hun door een organisatie verwerkte persoonsgegevens opvragen bij die organisatie. Zij ontvangen deze gegevens dan in een standaardformaat – dat noemt men ‘dataportabiliteit’ (= gegevensoverdracht). Mensen kunnen hierdoor hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Gevolgen voor organisaties die persoonsgegevens verwerken

De impact op organisaties is groot. De hele organisatie moet zijn ingericht op de AVG. Er is een verantwoordingsplicht: die plicht houdt in dat de organisatie moet aantonen dat ze zich aan de wet houden. Houdt een organisatie zich er niet aan, dan kan ze een boete krijgen van € 20 miljoen of 4% van de wereldwijde omzet.

De versterking van de privacyrechten zoals hierboven omschreven, betekent onder meer dat organisaties:

  • Niet méér persoonsgegevens mogen opvragen dan ze minimaal nodig hebben om te kunnen doen wat ze moeten doen
  • De persoonsgegevens niet langer bewaren dan strikt noodzakelijk is
  • De persoonsgegevens niet doorsturen naar andere partijen, als dit niet noodzakelijk is
  • De persoonsgegevens niet gebruiken voor andere doeleinden dan het oorspronkelijke doel
  • De klant duidelijk kunnen maken, hoe hun gegevens worden verwerkt en (eventueel) aan wie die gegevens worden doorgegeven (transparantieplicht)
  • Duidelijk moeten kunnen aangeven waarom bepaalde informatie nodig is

Bovendien hebben klanten altijd inzage in hun persoonsgegevens. Mocht iemand de juistheid van die persoonsgegevens betwisten, dan moet de organisatie op verzoek van die persoon de verwerking van zijn persoonsgegevens onmiddellijk stoppen.

Wat betekent dat concreet in een voorbeeldsituatie?

We geven hieronder een voorbeeld, om aan te geven wat de reikwijdte kan zijn van de AVG.

Ellen bezoekt haar adviseur Consumptief krediet. Zij wil een auto kopen en heeft voor de aanschaf een lening nodig. In het oriëntatiegesprek stelt de adviseur Ellen enkele vragen, waaronder:

  • Hoe hoog haar netto loon is
  • Welk bedrag Ellen nodig heeft voor de aanschaf van de auto
  • Hoe oud Ellen is en wat haar gezinssituatie is

Aandachtspunt AVG: De adviseur moet telkens aan Ellen kunnen uitleggen waarom zij die gegevens moet verstrekken. Daarbij moet de adviseur benadrukken dat deze informatie noodzakelijk is voor het aanvragen van de lening. De adviseur moet immers een ‘verwerkingsgrond’ aangeven voor het verzamelen van deze persoonsgegevens. Zolang de adviseur kan aantonen dat de gegevens nodig zijn voor het aanvragen van de lening, hoeft hij niet om schriftelijke toestemming van Ellen te vragen. Het specifiek vragen om toestemming kan zelfs nadelig zijn. Ellen kan dan op elk gewenst moment haar toestemming intrekken en dan mag de adviseur niets meer met de gegevens doen, terwijl dat mogelijk wel nodig is.

Na de oriëntatiefase in het eerste gesprek geeft Ellen aan door te willen in het adviestraject. De adviseur bespreekt en overhandigt het Dienstverleningsdocument aan Ellen.

Aandachtspunt AVG: Als Ellen nu alsnog besluit af te zien van het advies, of ze besluit samen met haar adviseur dat het niet zinvol is een adviesgesprek aan te gaan, heeft de adviseur geen gerechtvaardigd belang meer bij het bewaren van de gegevens van Ellen. De adviseur moet deze gegevens vernietigen.

Maar Ellen en de adviseur gaan verder het adviestraject in. De adviseur verzoekt Ellen alle persoonsgegevens en gegevens die noodzakelijk zijn voor het advies te verstrekken en eventueel te overhandigen. Deze gegevens heeft de adviseur nodig voor het geven van een passend advies. Ellen gaat akkoord met het passende advies dat de adviseur voorlegt. Ellen sluit een aflopend krediet af met een looptijd van 60 maanden bij kredietverstrekker X.

Aandachtspunt AVG: De adviseur moet Ellen kunnen aangeven dat het noodzakelijk is veel persoonsgegevens aan andere partijen (bank, kredietverstrekker of verzekeraar) door te geven en waarom dat noodzakelijk is. Ook moet de adviseur het vastleggen van persoonsgegevens beperken tot wat noodzakelijk is voor het advies voor de aanvraag van deze specifieke lening.

Het voorstel van kredietverstrekker X voor het aflopend krediet wordt door Ellen geaccepteerd. De lening wordt verstrekt en Ellen ontvangt het bedrag op haar bankrekening.

Aandachtspunt AVG: De adviseur moet de gegevens uit het adviesdossier van Ellen bewaren, omdat hij wettelijk verplicht is om eventueel in een later stadium aan te kunnen tonen dat hij een passend advies heeft gegeven aan Ellen. Deze zorgplicht duurt 5 jaar.

Na een jaar neemt de adviseur telefonisch contact op met Ellen en doet haar een mooi aanbod voor een autoverzekering.

Aandachtspunt AVG: Voor het doen van een dergelijke actie, is geen duidelijke noodzaak of wettelijke plicht. Toch legt de AP uit dat het hier gaat om ‘bestaande klanten’. In dat geval is het toegestaan hen ongevraagd te benaderen met een commerciële actie. Ook als daarvoor geen uitdrukkelijke toestemming is gegeven. De adviseur moet Ellen wel vertellen dat zij zich kan afmelden voor dergelijke cross sellingsacties. Als Ellen nog geen klant was, had de adviseur deze actie niet mogen ondernemen.

Ellen is boos over het telefoontje van de adviseur. Zij belt haar adviseur op en zegt: ‘Ik wil helemaal niets meer met jou te maken hebben! Ik wil zelfs dat je al mijn gegevens uit je administratie verwijderd. Daar heb je niets mee te maken!’

Aandachtspunt AVG: Ellen heeft het ‘Recht op vergetelheid’. Maar in deze situatie gaat dat niet volledig op. De adviseur heeft immers de wettelijke bewaarplicht van het adviesdossier. De adviseur hoeft het adviesdossier, voor zover noodzakelijk, niet te verwijderen. In het dossier heeft de adviseur een kopie van een paar loonstroken, maar ook de werkgeversverklaring waarop het bedrag aan overwerk staat vermeld. De kopieën van alle overwerkslips van de laatste 24 maanden is privacygevoelige informatie die niet relevant is voor de adviseur om te bewaren. Hij heeft immers een kopie van de werkgeversverklaring. Bovendien heeft de kredietverstrekker het krediet al verstrekt. De adviseur zal intern wel moeten regelen dat Ellen nooit meer gebeld wordt voor dergelijke acties.

Externe links

Informatie

  • Consumptief Krediet
  • Woensdag 25 maart 2020

KennisHub

KennisHub Pensioen- &
Life Event Advisering

  • Inspirerende Masterclasses
  • Praktijkgerichte Workshops
  • PE Artikelen & Casuistiek
  • Artikelen & Blogs
  • Stel je vraag
  • PE-geaccrediteerd
  • Mix & Match
  • Jaarlijks PE-certificaat
  • 21 dagen op proef

€ 35 p/m

Volgende licenties: 20% korting Meer Informatie

Eerst aankijken? Word Free Member

  • Wekelijkse nieuwsbrief
  • Artikelen & Blogs
  • 5+ gratis vaktechniek artikelen p/m
  • Schrijf je in voor Masterclasses & Workshops
  • Toegang tot FinSourceOne

Gratis

Volgende Free Members: 100% korting Meer Informatie