24 juli 2017

AVG: Organisatorische veranderingen voor webshops

Vingerafdruk op toetsenbord

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG, of General Data Protection Regulation (GDPR)) in werking. Deze nieuwe Europese privacywet biedt een betere bescherming van de persoonsgegevens van consumenten, met meer verantwoordelijkheden voor organisaties die met die gegevens werken en een ruimere bevoegdheid voor toezichthouders.

Thuiswinkel.org helpt haar leden op dit gebied graag verder. Dit doen we onder andere via een reeks artikelen waarin de nieuwe regels overzichtelijk uiteen wordt gezet. In dit eerste artikel gaan we dieper in op de onderwerpen Data Protection Officer (DPO), privacy by design/default, Privacy Impact Assessment (PIA) en toezicht en boetes. Voor de specifieke impact op de e-commercesector verwijzen we per onderwerp naar de relevante pagina in onze privacysectie.

Het aanstellen van een Data Protection Officer

Onder de AVG wordt het voor bepaalde webshops verplicht om een Data Protection Officer (DPO) aan te stellen. Een DPO is een onafhankelijk persoon die adviseert, informeert en rapporteert over naleving van de vereisten uit de AVG. Je moet een DPO aanstellen als je je toelegt op privacygevoelige activiteiten of je hoofdzakelijk bezighoudt met de verwerking van persoonsgegevens. Hierbij kun je denken aan de grootschalige verwerking van persoonsgegevens door zoekmachines om internetgebruikers advertenties te kunnen tonen op basis van hun zoekgedrag of aan een ziekenhuis dat patiëntgegevens verwerkt.

Wanneer moet je een Data Protection Officer (DPO) aanstellen?

‘Privacy by design’ en ‘privacy by default’

De AVG vereist dat al tijdens de ontwerp- en ontwikkelfase van informatiesystemen rekening wordt gehouden met privacy (‘privacy by design’). Op deze manier kan het vereiste niveau van persoonsgegevensbescherming direct worden gewaarborgd. Daarbij moet je rekening houden met de techniek en de kosten, maar ook met de aard, omvang, context en het doel van de verwerking van de persoonsgegevens. Ten slotte moeten ook de risico’s die consumenten of andere betrokkenen door de gegevensverwerking lopen, worden meegewogen.

‘Privacy by default’ richt zich op producten of diensten waarbij gebruikers zelf persoonsgegevens delen, zoals via social media. Het houdt in dat de strengste privacy-instellingen standaard van toepassing moeten zijn bij het gebruik van een nieuwe dienst of product. De consument kan deze instellingen hierna zelf aanpassen, zodat hij zelf de afweging kan maken in welke mate en met wie zijn (persoons)gegevens worden gedeeld.

Bekijk de praktische tips rond privacy by design.

Privacy Impact Assessment (PIA)

Onder de AVG kan een Privacy Impact Assessment (PIA) verplicht worden gesteld voor sommige webshops. Een PIA is een proces waarbij wordt getoetst of de eventuele gegevensverwerking proportioneel en noodzakelijk is. Dit is een belangrijk instrument om aan te tonen dat passende maatregelen zijn genomen om aan het vereiste niveau van de AVG te voldoen.

Niet voor alle gegevensverwerkingen hoeft een PIA te worden uitgevoerd; het is alleen verplicht als er sprake is van een ‘risicovolle verwerking’. Dat is in ieder geval zo wanneer je:

  • systematisch en uitvoerig persoonlijke informatie analyseert; of
  • op grote schaal bijzondere persoonsgegevens (zoals afkomst, godsdienst, seksuele voorkeur, politieke opvatting of gezondheid) verwerkt; of
  • op grote schaal systematisch mensen volgt in een voor het publiek toegankelijke ruimte (bijvoorbeeld via wifitracking).

Lees hier meer over de Privacy Impact Assessment (PIA).

Toezicht en boetes

Onder de AVG krijgen toezichthouders meer ruimte om hogere boetes uit te delen. De boetebevoegdheid van de Autoriteit Persoonsgegevens (AP) komt te liggen op € 20 miljoen of 4% van de wereldwijde jaaromzet als dit bedrag hoger is. Daarnaast wordt er een Europees Comité voor gegevensbescherming in het leven geroepen, dat richtlijnen, adviezen en praktijken rondom gegevensbescherming publiceert.

Lees hier meer over toezicht en boetes.