Algemene verordening gegevensbescherming (AVG)

Door toenemende digitalisering, is het steeds vanzelfsprekender om allerlei persoonlijke gegevens uit te wisselen met diverse partijen. Vaak bewust, maar ook vaak onbewust, zoals sociale media die allerlei persoonlijke informatie verzamelen, verwerken en doorverkopen aan andere partijen. Hierdoor worden consumenten zich steeds meer bewust van hun privacy: niet iedereen hoeft alles te weten. Mogen partijen wel alles van u weten en dat met iedereen delen?

Op Europees niveau zijn privacyregels opgesteld. De regels zijn op 25 mei 2018 ingegaan.

Europese verordening

Sinds 1995 is er al een Europese privacyrichtlijn. Die was dringend aan vervanging toe. Op 4 mei 2016 is de richtlijn vervangen voor een verordening, die 20 dagen later is gepubliceerd: de General Data Protection Regulation (GDPR). In het Nederlands heet dit de Algemene Verordening Gegevensbescherming (AVG). Wij gebruiken hier alleen de afkorting AVG. Sinds 25 mei 2018 moet elke organisatie binnen de Europese lidstaten voldoen aan deze AVG. De AVG is de opvolger van de Wet bescherming persoonsgegevens (Wbp).

Versterking privacyrechten

Eén van de pijlers van de AVG is dat mensen meer mogelijkheden hebben gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Dit uit zich onder meer in de volgende uitbreidingen van hun rechten:

  • Toestemmingsvereiste
    Organisaties moeten bewijzen dat zij toestemming hebben voor het verwerken van de persoonsgegevens van mensen. Bovendien kan die toestemming net zo makkelijk weer worden ingetrokken, als die eenmaal is gegeven. Het kan zo zijn dat een organisatie een andere (limitatief benoemde) ‘verwerkingsgrond’ heeft: een bepaalde reden om gegevens te verwerken, bijvoorbeeld omdat dit wettelijk is verplicht of omdat het noodzakelijk is voor de te verlenen dienst. In die gevallen is schriftelijk bewijs van toestemming niet altijd nodig.
  • Recht op vergetelheid
    Mensen hebben bovendien het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Sinds 25 mei 2018 kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
    Uiteraard betekent het recht om te vragen om verwijdering niet, dat de organisatie deze verwijdering ook altijd kan doorvoeren. Op de uitzonderingen komen we later terug.
  • Recht op dataportabiliteit
    Mensen mogen hun door een organisatie verwerkte persoonsgegevens opvragen bij die organisatie. Zij ontvangen deze gegevens dan in een standaardformaat – dat noemt men ‘dataportabiliteit’ (= gegevensoverdracht). Mensen kunnen hierdoor hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Gevolgen voor organisaties die persoonsgegevens verwerken

De impact op organisaties is groot. De hele organisatie moet zijn ingericht op de AVG. Er is een verantwoordingsplicht: die plicht houdt in dat de organisatie moet aantonen dat ze zich aan de wet houden. Houdt een organisatie zich er niet aan, dan kan ze een boete krijgen van € 20 miljoen of 4% van de wereldwijde omzet.

De versterking van de privacyrechten zoals hierboven omschreven, betekent onder meer dat organisaties:

  • Niet méér persoonsgegevens mogen opvragen dan ze minimaal nodig hebben om te kunnen doen wat ze moeten doen
  • De persoonsgegevens niet langer bewaren dan strikt noodzakelijk is
  • De persoonsgegevens niet doorsturen naar andere partijen, als dit niet noodzakelijk is
  • De persoonsgegevens niet gebruiken voor andere doeleinden dan het oorspronkelijke doel
  • De klant duidelijk kunnen maken, hoe hun gegevens worden verwerkt en (eventueel) aan wie die gegevens worden doorgegeven (transparantieplicht)
  • Duidelijk moeten kunnen aangeven waarom bepaalde informatie nodig is

Bovendien hebben klanten altijd inzage in hun persoonsgegevens. Mocht iemand de juistheid van die persoonsgegevens betwisten, dan moet de organisatie op verzoek van die persoon de verwerking van zijn persoonsgegevens onmiddellijk stoppen.

Wat betekent dat concreet in een voorbeeldsituatie?

We geven hieronder een voorbeeld, om aan te geven wat de reikwijdte kan zijn van de AVG.

Frits bezoekt een tussenpersoon, Dave, omdat hij graag een huis wil kopen en daarvoor een hypothecair krediet nodig heeft.

In het oriëntatiegesprek stelt Dave enkele vragen aan Frits om na te gaan of hij überhaupt iets voor hem kan betekenen. Dave wil onder meer weten:

  • Wat het inkomen van Frits is en hoe hij dat verdient
  • Welk bedrag hij denkt te moeten lenen
  • Hoe oud Frits is en wat zijn gezinssituatie is

Aandachtspunt AVG: Dave moet telkens aan Frits kunnen uitleggen waarom hij die gegevens nodig heeft. Hij moet daarbij benadrukken dat deze informatie noodzakelijk is voor de adviesvraag van Frits. Dave moet een ‘verwerkingsgrond’ aangeven voor het verzamelen van deze persoonsgegevens. Dave kan Frits om schriftelijke toestemming vragen, maar dat hoeft niet. Als hij kan aantonen dat de gegevens nodig zijn, hoeft hij niet om schriftelijke toestemming van Frits te vragen. Sterker nog: als hij wel om schriftelijke toestemming vraagt, kan Frits zijn toestemming elk moment weer intrekken. Dan mag Dave niets meer doen met de gegevens, terwijl dat mogelijk wel nodig is. In dat geval moet Dave aangeven dat advies niet meer mogelijk is en moet hij de opdracht teruggeven.

Na het oriëntatiegesprek zijn ze het erover eens dat ze verder willen in het adviestraject. Dave overhandigt het Dienstverleningsdocument aan Frits.

Aandachtspunt AVG: Als Frits nu, net voordat het adviestraject echt van start gaat, alsnog zou afzien van het advies, of Dave en Frits komen tot de conclusie dat een adviesgesprek niet zinvol is, heeft Dave geen gerechtvaardigd belang meer bij het bewaren van de gegevens van Frits. Hij moet deze vernietigen.

Dave en Frits gaan het adviestraject verder in. Dave verzoekt Frits nog veel meer persoonsgegevens te overhandigen, zodat hij een passend advies kan geven. Uiteindelijk komt Dave tot een passend advies. Frits accepteert dit advies. Het advies houdt in dat er een hypothecaire lening wordt aangevraagd bij een bank en een levensverzekering bij een verzekeraar.

Aandachtspunt AVG: Dave moet Frits kunnen aangeven dat het noodzakelijk is veel persoonsgegevens aan andere partijen (bank en verzekeraar) door te geven en waarom dat noodzakelijk is. Ook moet Dave het vastleggen van persoonsgegevens beperken tot wat noodzakelijk is voor het advies en de afgenomen dienst en aanvraag.

De aanvragen voor de lening en de levensverzekering worden geaccepteerd. De lening en de levensverzekeringspolis worden verstrekt.

Aandachtspunt AVG: Dave mag de gegevens uit het adviesdossier van Frits bewaren. Sterker nog: hij is wettelijk verplicht om eventueel in een later stadium aan te kunnen tonen dat hij een passend advies heeft gegeven.

Er verstrijkt een jaar. De tussenpersonen waar Dave werkt, onderneemt een commerciële cross-sell actie. Ze hopen daarmee hun klanten ook andere producten te verkopen, zoals schadeverzekeringen.

Aandachtspunt AVG: Voor het doen van een dergelijke actie, is geen duidelijke noodzaak of wettelijke plicht. Toch legt de AP uit dat het hier gaat om ‘bestaande klanten’. In dat geval is het toegestaan hen ongevraagd te benaderen met een commerciële actie. Ook als daarvoor geen uitdrukkelijke toestemming is gegeven. Dave moet dan wel een eenvoudige optie geven aan Frits waarmee hij zich kan afmelden voor dergelijke acties. Als Frits nog geen klant was, dan had de tussenpersoon deze actie niet mogen ondernemen.

Frits is geïrriteerd over het telefoontje van Dave in een poging hem meer financiële diensten te verkopen. Frits zegt: ik wil niets meer met jullie te maken hebben! Ik wil zelfs dat jullie al mijn gegevens weggooien! Jullie hebben daar niets meer mee te maken.

Aandachtspunt AVG: Hoewel Frits het ‘Recht op vergetelheid’ heeft, gaat dat in deze situatie niet volledig op. De adviseur heeft de wettelijke bewaarplicht van het adviesdossier. Dave hoeft het adviesdossier, voor zover noodzakelijk, niet te verwijderen. Maar als Frits bijvoorbeeld een gezondheidsverklaring heeft ingevuld, waarvan nog een kopie in het dossier zit, is dat erg privacygevoelige informatie die niet relevant is voor Dave om te bewaren. De verzekeraar heeft de verzekering al geaccepteerd en die verzekeraar heeft de gezondheidsverklaring ook. Dave zal die gezondheidsverklaring wel moeten vernietigen. Tot slot zal de tussenpersoon waar Dave werkt intern moeten regelen dat Frits nooit meer gebeld wordt voor dergelijke acties.

Informatie

  • Pensioen
  • Donderdag 19 maart 2020

KennisHub

KennisHub Pensioen- &
Life Event Advisering

  • Inspirerende Masterclasses
  • Praktijkgerichte Workshops
  • PE Artikelen & Casuistiek
  • Artikelen & Blogs
  • Stel je vraag
  • PE-geaccrediteerd
  • Mix & Match
  • Jaarlijks PE-certificaat
  • 21 dagen op proef

€ 35 p/m

Volgende licenties: 20% korting Meer Informatie

Eerst aankijken? Word Free Member

  • Wekelijkse nieuwsbrief
  • Artikelen & Blogs
  • 5+ gratis vaktechniek artikelen p/m
  • Schrijf je in voor Masterclasses & Workshops
  • Toegang tot FinSourceOne

Gratis

Volgende Free Members: 100% korting Meer Informatie