Ongetwijfeld heeft u afgelopen weken ook vele mails ontvangen met betrekking tot AVG. Er waren grofweg twee soorten mailberichten te onderscheiden. Type 1, met een toestemmingsverzoek voor het blijven toesturen van emails, en type 2 waarbij een aangepaste privacyverklaring de hoofdboodschap was. Verder was er nog het fenomeen van de verwerkersovereenkomsten. De juridische vraag; is dit nu allemaal wel nodig?
Het is goed om te weten dat zo’n 80% van de AVG regels ook al van kracht waren in de Wet Bescherming Persoonsgegevens. Dus, misschien is de ontstane onrust iets te overdreven. Toch merken wij, door vragen die ons gesteld worden, dat er enkele opvallende misverstanden zijn.
Misverstand 1: Direct Marketing toestemming?
Op het gebied van direct marketing zijn de regels niet inhoudelijk veranderd. Als je bij het versturen van nieuwsberichten aan de WBP voldeed, doe je dat ook in het kader van de AVG. Dan is dus een bericht aan alle ontvangers van de nieuwsbrief om zich opnieuw in te schrijven helemaal niet nodig. Wat zijn de regels dan?
U mag aan uw bestaande klanten berichten sturen. Het mag gaan om informatie over en aanbiedingen voor producten of diensten. Toestemming is helemaal niet nodig. Er moet wel een gemakkelijke manier zijn om je af te melden voor die berichten. En het moet in de lijn liggen van de producten of diensten die deze klanten eerder hebben afgenomen. Klant ben je als je ooit een product of dienst hebt afgenomen.
Alleen voor niet klanten is toestemming nodig. De toestemming moet bewezen kunnen worden. Dat was ook al het geval bij de WBP. Veel bedrijven hebben het zekere voor het onzekere gekozen. En ze hebben gemakshalve ook hun klanten opnieuw om toestemming gevraagd.
Maar wat doe je nu, als je je klanten om toestemming hebt gevraagd en deze niet hebt gekregen?
Misverstand 2: wel of geen Verwerkingsovereenkomst?
In onze praktijk hebben we vele vragen gekregen over verwerkersovereenkomsten. In sommige gevallen werd gedreigd met het stoppen van de samenwerking als de verwerkersovereenkomst niet zou worden ondertekend. Een serieuze zaak met grote gevolgen dus.
De kernvraag die gesteld dient te worden is: Bent u in het kader van AVG ‘verantwoordelijke’ of bent u ‘verwerker’? De volgende voorbeelden geven daarbij duidelijkheid.
U bent werkgever en u boekt een zakenreis via een reisbureau. Het reisbureau verwerkt weliswaar persoonsgegevens, maar het reisbureau is geen ‘verwerker’. Het reisbureau is ‘verantwoordelijke’. Als de vlucht bijvoorbeeld wordt geannuleerd wordt het reisbureau geacht om zelf actie en maatregelen te ondernemen. Het reisbureau bepaalt aan wie zij welke informatie geeft. Het reisbureau heeft de gegevens dus nodig om de overeenkomst uit te voeren en beslist over de verwerking van de gegevens. Dus? Er is geen verwerkersovereenkomst nodig!
Dit geldt bijvoorbeeld ook voor ons als advocatenkantoor. Ook wij zijn ‘verantwoordelijke’ en geen ‘verwerker’. Dus ook hier is geen verwerkersovereenkomst van toepassing.
Maar in welk geval is een verwerkersovereenkomst dan wel van toepassing? Typische verwerkers zijn een salarisadministratiekantoor en een IT-bedrijf dat de automatisering van uw organisatie regelt.
Misverstand 3: Lijst met subverwerkers?
Het onderwerp subverwerker leidt eveneens tot onrust en vragen. Eén van die vragen? “Hoe moeten we omgaan met de lijst met subverwerkers. Dan krijgt klanten inzicht in onze leveranciers. Dat kan zomaar bij de concurrentie terecht komen.”
Met betrekking tot subverwerkers gelden de volgende verplichtingen:
A) Een verwerker mag geen sub-verwerker inschakelen zonder voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke.
B) Als verwerker heb je de verplichting om een sub-verwerkersovereenkomst te sluiten met alle sub-verwerkers.
C) In de sub-verwerkersovereenkomst moet worden afgesproken dat minimaal hetzelfde beveiligingsniveau wordt toegepast dan de verwerker moet toepassen in de relatie met de verwerkingsverantwoordelijke.
Volgens de AVG richtlijn dient u toestemming te hebben om subverwerkers in te schakelen. De verwerker dient bovendien een verwerkersovereenkomst met de subverwerker aan te gaan. Er bestaat dus geen verplichting om specifiek aan te geven met welke subverwerker wordt gewerkt. Een lijst met subverwerkers is dus niet nodig en zeker niet een lijst, die op de website gepubliceerd moet worden.
Wij adviseren verder om op voorhand toestemming te vragen voor de gebruikelijke leveranciers, die u voor uw dienstverlening nodig hebt, zoals cloudbedrijven etc.
Voor antwoorden op praktische vragen over de AVG, neem dan contact op met Rob Beks.
info@beksadvocaten.nl