Inhoud In dit artikel

Alweer een nieuwe wet

Nieuwe privacy wet: e-Privacy Verordening (ePV)

De Algemene Verordening Persoonsgegevens (AVG) is pas sinds mei 2018 van kracht, maar er staat alweer een nieuwe privacywet voor de deur. Nóg een privacy wet? Jazeker. De ePV, voluit de e-Privacy Verordening, komt eraan. We kunnen ons voorstellen dat je vragen hebt. Wat is de ePV precies? Wat is het verschil met de huidige AVG wetgeving? En wat moet ik allemaal aanpassen om te voldoen aan deze nieuwe e-privacy wet? 

Voorlopige verordening

Laten we beginnen met het feit dat de ePV momenteel nog een voorlopige verordening betreft. De definitieve datum van inwerkingtreding is dus nog niet bekend. Maar zodra de wet definitief is goedgekeurd, zal deze wel de nodige impact hebben op je (online) bedrijfsvoering. We gaan hier in dit artikel dieper op in.

Allereerst zullen we de grootste zorg wegnemen: wanneer je reeds voldoet aan de AVG wetgeving, dan is de ePV slechts een kleine stap die nog gezet moet worden. We gaan er in dit artikel dan ook van uit dat je de AVG wetgeving al correct hebt geïmplementeerd. 

Lees hier meer over de AVG wetgeving en de implementatie ervan >>

 

Wat is het verschil tussen AVG en ePV?

De AVG beslaat élke vorm van persoonsgegevens-verwerking. De ePV richt zich uitsluitend op de verwerking van persoonsgegevens voor elektronische communicatiediensten en is dus specifieker. De ePV gaat de huidige e-Privacy Richtlijn (EPR) uit 2002 vervangen en zal enkele regels uit de telecommunicatiewet (TW) vervangen. Deze laatste zal met de komst van de ePV gaan vervallen.  

De ePV stelt onder andere regels op voor het gebruik van e-mail, telemarketing, cookies en andere vormen van elektronische communicatie. Het toepassingsgebied van de ePV wordt uitgebreid en daarmee vallen nu ook aanbieders van OTT diensten (over the top communicatie), waaronder apps als whatsapp en datingapps, social platformen als Facebook en bijvoorbeeld review websites. 

Geen reden tot paniek

Wij hebben intern onderzoek laten verrichten door een juridisch medewerkster. De conclusie? De ePrivacy Verordening is geen reden tot paniek. Indien je de AVG volledig hebt geïmplementeerd, zal er voor je organisatie namelijk weinig veranderen. De ePV verwijst vaak naar de AVG en heeft in enkele gevallen aanvullingen of wijzigingen gedaan. 

Gewijzigde en nieuwe regels in de e-Privacy Verordening

Er zijn echter ook enkele regels opgesteld die ten opzichte van de AVG nieuw zullen zijn voor jou en je organisatie. 

Persoonsgegevens

Op het moment dat je gegevens verwerkt, is er te allen tijde toestemming nodig van de gebruiker indien het een persoonsgegeven betreft. Het betreft een persoonsgegeven indien het gegeven direct valt te herleiden naar een persoon. Een IP-adres is niet direct te herleiden naar een persoon, maar op het moment dat een IP-adres in combinatie met een ander persoonsgegeven wordt gebruikt, kan het wel herleiden naar een persoon.

Op grond van de ePV geldt dat functionele en analytische cookies verwerkt mogen worden zonder toestemming van de gebruiker, mits zij niet zijn te traceren naar een persoon. Indien dat wel het geval is dan dienen zij anoniem verwerkt te worden. Voor marketing cookies geldt dat er te allen tijde toestemming nodig is van de gebruiker.

Bewaren van persoonsgegevens

Als je persoonsgegevens bewaart, ben je altijd verplicht om een termijn voor de bewaring te noemen. Deze termijn dien je per categorie te benoemen. Termijnen die op grond van de wet zijn vastgesteld, hoef je niet op te nemen. Een persoonsgegeven mag evenals bij de AVG nooit langer bewaard worden dan het doel waarvoor de verwerking strekt.

Wifi-tracking

Indien je organisatie gebruik maakt van een openbaar netwerk, mag je geen persoonsgegevens van gebruikers verwerken zonder toestemming. Indien het geen openbaar netwerk betreft, valt de tracking buiten het toepassingsgebied.

Wifi-tracking gebeurt door het opslaan en verwerken van locatiegegevens met een uniek nummer dat is gekoppeld aan een tablet of smartphone. Gegevens van wifi-tracking mogen worden verwerkt voor statistische doeleinden zolang het maar beperkt is in tijd en plaats. Wanneer de gegevens niet meer nodig zijn voor het doel, dienen de gegevens zo snel mogelijk geanonimiseerd te worden.

Een voorafgaande melding is verplicht. Een bordje met een camera erop is voldoende mits het tracking gebied erbij wordt vermeld, alsmede het doel en wie de (eind)verantwoordelijke is. De verzamelde data mag alleen met derden worden gedeeld mits die gegevens uiterst anoniem zijn.

Privacy by default en privacy by design

Cookie meldingen waarvan alles reeds staat aangevinkt? Dit mag niet meer volgens de ePV. Aan de gebruiker moet altijd de mogelijkheid worden geboden om zelf iets aan te vinken of in te vullen. Dit mag niet meer vooraf door de website worden gedaan. Alles dient conform de wet zo gebruiksvriendelijk mogelijk te worden ingesteld.

e-privacy verordening privacy by default

Cookiewall

Je ziet het nu nog regelmatig voorbij komen: de cookiewall. Dit betekent dat je een website niet kunt bezoeken wanneer je de cookies niet accepteert. De ePV gaat deze cookiewalls verbieden. Je website dient altijd voor iedere gebruiker toegankelijk te zijn, ook als de gebruiker de cookies niet accepteert. Daarnaast moet aan de gebruiker de mogelijkheid worden geboden om de cookie-instellingen te wijzigen of te verwijderen.

Voorbeeld van een cookiewall:

ePV cookiewall voorbeeld

Spamverbod

Nieuwsberichten mogen op grond van de ePV alleen nog maar verstuurd worden indien de gebruiker zich hier zelf voor aanmeldt of hier expliciet toestemming voor geeft middels een opt-in. Op het moment dat iemand recent een aankoop in je webshop heeft gedaan, mag je geen nieuwsbrieven versturen die over dezelfde aankoop gaan of over een gerelateerd product. De ePV gaat nog een termijn instellen voor de tijdsperiode die jij als organisatie je klant op de hoogte mag houden middels een nieuwsbrief.

Wanneer iemand zich heeft aangemeld voor een nieuwsbrief via opt-in, dan dient de gebruiker in elke nieuwsbrief de mogelijkheid hebben om zich direct af te melden (opt-out). Indien de gebruiker zich heeft afgemeld, mogen er geen nieuwsbrieven meer worden verstuurd.

Doet jouw onderneming aan telefonische verkoop? Dan is zijn er nog enkele extra regels van toepassing. Zo mag je klanten niet benaderen zonder dat zij hier vooraf toestemming voor hebben gegeven. Indien je een klant gaat bellen die toestemming heeft verleend, dan ben je verplicht om te bellen met een bekend nummer (anoniem bellen is niet toelaatbaar). Daarnaast dien je een zogenoemde “prefix” toe te voegen voor je telefoonnummer (bijvoorbeeld 088).

Privacyverklaring

Indien je gegevens verwerkt, ben je altijd verplicht om de privacyverklaring op te nemen in de footer. Wanneer je een contactformulier op je website hebt staan en/of analytics gegevens verzamelt, is het al noodzakelijk om een privacy statement te hebben. Het is verplicht om in de privacyverklaring de identiteit van je bedrijf op te nemen, alsmede een contactgegeven van degene waar de privacy-gerelateerde vragen aan gericht kunnen worden.

Benoemen doeleinden / grondslag

De doeleinden en de grondslag moeten worden benoemd. Zoals het er nu uitziet, is er nog maar één grondslag voor de verwerking, namelijk: toestemming van de gebruiker. Ter vergelijking: de AVG had zes grondslagen.

Benoemen rechten van de gebruiker

De acht rechten die aan de betrokkene toekomen moeten te allen tijde worden benoemd in de privacyverklaring. Het gaat hierbij om:

  • Recht van inzage
  • Recht op gegevenswissing
  • Recht op beperking van de verwerking
  • Recht op overdraagbaarheid van de gegevens 
    • Bij de overdraagbaarheid van gegevens moet ook een termijn worden benoemd waarbinnen je op een dergelijk verzoek reageert (maximaal vier weken).
  • Recht van bezwaar
    • Ten aanzien van het recht van bezwaar moet je altijd een kopje opnemen waarin wordt uitgelegd hoe de gebruiker bezwaar kan maken en waar de gebruiker dit dient te doen.
  • Recht op rectificatie
  • Recht op informatie
  • Recht van profilering
    • Ten aanzien van het recht van profilering ben je altijd verplicht om te vermelden of je wel of geen gebruik maakt van geautomatiseerde besluitvorming.

Indien deze rechten niet worden opgenomen, wordt er niet voldaan aan het recht van informatie.

Indien je gegevens verwerkt buiten de EU, ben je verplicht om dit te vermelden. Naast de verwerking buiten de EU ben je te allen tijde verplicht om te vermelden of je de persoonsgegevens deelt met derden en zo ja, welke derden en waarom. Tevens dien je daarbij onderscheid te maken tussen wie de verwerker en de verwerkingsverantwoordelijke is.

Ten aanzien van de bewaartermijnen dien je deze altijd per categorie te benoemen. Als laatst moet je vermelden op welke manier je persoonsgegevens beveiligt en hoe je dit doet.

Verwerkersovereenkomst

Een verwerkersovereenkomst is verplicht indien een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker. Als je bijvoorbeeld door Cross Internet een website laat bouwen en beheren, dan ben jij de verwerkingsverantwoordelijke en fungeert Cross Internet als verwerker.

In de verwerkersovereenkomst dienen de volgende punten te worden opgenomen:

  • De termijn, de aard en het doel van de verwerking;
  • Een omschrijving over welk soort persoonsgegevens er worden verwerkt;
  • De rechten en plichten die aan de verwerkingsverantwoordelijke toekomen;
  • Er dient vermeld te worden dat de gegevens alleen gebruikt mogen worden voor de bedoelde doeleinden van de verantwoordelijke en niet voor eigen gebruik van de verwerker.
  • Het personeel van de verwerker heeft een geheimhoudingsplicht. Hier kan eventueel een boetebeding bij worden opgenomen;
  • Welke passende technische en organisatorische maatregelen er worden genomen;
  • Op welke manier en wanneer er subverwerkers (derden) ingeschakeld mogen worden;
  • Een uiteenzetting van de rechten die aan de betrokkene toekomen;
  • De verplichtingen van de verwerkingsverantwoordelijke moeten erin staan (het melden van datalekken);
  • Informatie over de verwijdering van de persoonsgegevens op het moment dat het doel is behaald;
  • Informatie over in welke landen (eventueel) nog data wordt opgeslagen en;
  • Er moeten afspraken in staan over de aansprakelijkheid indien de verwerkersovereenkomst niet wordt nagekomen of er sprake is van nalatigheid.

Je moet altijd in de algemene voorwaarden vermelden dat de klant bij het accepteren van de algemene voorwaarden tevens akkoord gaat met de verwerkersovereenkomst.

Moet ik de AVG of ePV volgen?

Op het moment dat er elektronische persoonsgegevens worden verwerkt, dien je altijd de regels van de ePV te volgen. Indien er niets in de ePV is geregeld, dan gelden automatisch de wetten en regels met betrekking tot de privacy zoals vastgelegd in de AVG.

Wat gebeurt er als ik niet voldoe aan de regels?

Op het moment dat je niet voldoet aan de door ePV gestelde eisen, riskeer je een boete van de Autoriteit Persoonsgegevens. Deze boete kan oplopen tot 20 miljoen euro of 4% van de totale (wereldwijde) omzet.

Vragen?

Wij hopen dat we je voldoende hebben geïnformeerd. Bij vragen kun je altijd contact opnemen met onze privacy specialist, dhr. Willem Kraus. Dit kun je doen per telefoon: + 31 (0495) 45 11 70 of via de e-mail: willem@crossinternet.nl.

HypothekersUnie
Klantcase HypothekersUnie HypothekersUnie is een landelijk netwerk van onafhankelijke hypotheekadviseurs. Een ├ęcht onafhankelijk en persoonlijk hypotheekadvies, volledig op maat van de klantsituatie, dat is waar HypothekersUnie om bekend wil staan.
Cross logo
De optimale online
marketingmix ontdekken
Plan vandaag nog een vrijblijvend consult in
Consult aanvragen Geheel vrijblijvend
Klanten over ons 9.9 21 beoordelingen
Meer dan 500 succesvolle projecten Snelst groeiende online partner van Noord Limburg Ruim 13 jaar ervaring
Onze partners Google Partner Microsoft Tradetracker Bol.com Pay.nl MultiSafePay TrustPilot Ecabo
Contactgegevens
Cross Internet Lindanusstraat 12 6031EA Nederweert
+31 (0)495 45 11 70 Ma t/m vrij 09:00 - 17:00
Info@crossinternet.nl
Openingstijden Maandag: 09:00 - 17:00 Dinsdag: 09:00 - 17:00 Woensdag: 09:00 - 17:00 Donderdag: 09:00 - 17:00 Vrijdag: 09:00 - 17:00
Parkeertip Parkeren is mogelijk in de blauwe parkeerzone voor de ingang van ons pand. Vergeet je parkeerschijf niet!
+31 (0)495 45 11 70
Info@crossinternet.nl
+31 (0)637 45 3827
9.6 43 beoordelingen
Route Cross Internet ligt centraal in het zuiden van Nederland. Direct aan de afslag Nederweert. Deze verbindt de A2 met de N275 Weert - Nederweert. Venlo, Sittard, Echt, Eindhoven en Helmond zitten op 30 min reistijd door ligging dicht bij grens Limburg / Brabant.
+31 (0)495 45 11 70 Werkdagen van 09:00 tot 17:00 mdavidson@crossinternet.nl We reageren binnen 24 uur ( op werkdagen )