PrivacyBlox over de AVG [7/20]: onderzoek en analyse onder de AVG, wat mag er nog?
09 February 2018 - ArnoudEngelfriet
Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Veel is er al over geschreven, wat mag wel, wat mag niet en vooral: hoe moet je dit allemaal regelen? In deze blogreeks zetten wij de kernpunten van de nieuwe Europese privacywet voor u op een rijtje. Van de eisen aan toestemming tot de registerplicht en het aanstellen van een privacy officer.
De nieuwe Europese privacywet – de Algemene Verordening Gegevensbescherming of AVG – stelt strenge regels aan de omgang met persoonsgegevens. In principe is altijd toestemming of een andere grondslag nodig, en vervolgens is alleen toegestaan wat onder die grondslag te rechtvaardigen is. Specifiek voor wetenschappelijk of statistisch onderzoek wordt het dan lastig: zelden wordt daar apart toestemming voor gevraagd. Betekent dit dan het einde van onderzoek en analyse?
De AVG kent het beginsel van doelbinding: gegevens mogen alleen worden gebruikt voor de doelen waarvoor ze zijn verkregen. Uw klantenbestand mag dus alleen worden gebruikt om die klanten hun producten te leveren. Heel formeel is een verkoopanalyse (wat verkocht goed, wat moeten we aanpassen) dan een probleem, want dat heeft niets meer te maken met de verkoop zelf.
Gelukkig is daarvoor ruimte wel ruimte onder de AVG. Doelen die ‘verenigbaar’ zijn met die oorspronkelijke doelen, zijn ook toegestaan. En daar hoeft dan niet apart toestemming voor te worden gevraagd. Die analyse is dus toegestaan, want analyseren van historische verkopen staat op één lijn met het verkopen zelf. Uiteraard moet u wel kunnen onderbouwen waarom twee dingen verenigbaar zijn, als u zich hierop beroept.
Expliciet staat daarbij in de wet dat wetenschappelijk en statistisch onderzoek aangemerkt worden als verenigbaar. Daar is dus geen argumentatie meer voor nodig. Wel moet u maatregelen nemen om te zorgen dat dit onderzoek zo netjes mogelijk gebeurt. U moet gegevens zo veel mogelijk anonimiseren en niet meer gegevens inzetten dan nodig zijn voor het onderzoek. Gegevens moeten ook zo snel mogelijk worden weggegooid.
U moet mensen wel informeren dat u dergelijk onderzoek gaat uitvoeren met hun gegevens. Dit kan bijvoorbeeld in de privacyverklaring gebeuren.
Deze uitzondering is overigens niet beperkt tot universiteiten of ander hoogwaardig wetenschappelijk werk. Een bedrijf mag gewoon statistisch onderzoek doen en de resultaten daarvan commercieel toepassen. Iets riskanter wordt het als u die uitkomsten gaat gebruiken om mensen op maat gesneden advertenties of promoties te doen, of erger nog mensen dingen gaat verplichten of verbieden. U komt dan namelijk in een ander gebied van de AVG terecht – de regels over profiling zijn streng. U moet dan een opt-out bieden voor deze activiteit, en besluitvorming moet te allen tijde door een mens gebeuren.
Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.
De nieuwe Europese Algemene Verordening Gegevensbescherming is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens. Ook andere Europese landen hebben hun eigen privacywetgeving. Al deze wetgeving komt te vervallen; de AVG wordt vanaf 25 mei de énige privacywet, waar mensen zich direct op kunnen beroepen.
Inhoudelijk is de AVG vooral een kwestie van de touwtjes stevig aantrekken. De regels voor toestemming vragen voor verwerking van persoonsgegevens worden strenger, iedere verwerking moet op papier zijn uitgewerkt inclusief bewaartermijn en beveiligingskeuzes en er moet concreet beleid rond datalekken en security zijn. Dit alles op straffe van behoorlijk stevige boetes, waarover morgen meer.
Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder?
Een belangrijke vernieuwing zijn de verwerkingsregisters en datalekregisters. Deze registers maken deel uit van de verantwoordingsplicht die bedrijven en instellingen krijgen. In het verwerkingsregister moet ieder gebruik van persoonsgegevens zijn uitgewerkt (welke gegevens, waarom, hoe lang, hoe veilig), en het datalekregister moet inzicht bieden in dingen die misgingen (en hoe dat verbeterd gaat worden). Ook nieuw is de privacy impact assessment: een risicoanalyse van potentieel gevaarlijke verwerkingen, inclusief stappenplan om de risico’s te borgen.
Als ik de AVG in één zin moet samenvatten, dan is dat het een compliancewet is. Documenteer wat u doet, en leg daar verantwoording over af. Laat zien dat u netjes werkt en rechtvaardig waarom het gepast is wat u wilt doen. De vraag zou bij de AVG ook niet moeten zijn, mag dit of dat nog, maar hoe leg ik vast dat ik kan doen wat ik wil.
Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.
