Delicious Media biedt hulp bij je AVG

Twee jaar geleden (in mei 2016) is de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Vanaf 25 mei 2018 moeten alle bedrijven zich aan deze nieuwe privacywet houden. Consumenten krijgen hiermee meer rechten als het gaat om controle over hun persoonsgegevens. Bedrijven krijgen meer plichten met betrekking tot privacy van consumenten. Door de AVG moet de privacy statement worden uitgebreid. Dit geldt voor zowel bedrijven als verenigingen en stichtingen die persoonsgegevens verzamelen. Lees er hier alles over

Aanbod

Veel bedrijven weten zich hier nog geen raad mee. Delicious Media biedt hierbij hulp! Hierbij wordt de volgende dienst aangeboden:

  • Consult om meer informatie te vergaren over het bedrijf. (Telefonisch of op het kantoor van Delicious Media aan de Nieuwstraat 19)
  • De opmaak en invulling van het Privacy Statement
  • De verwerking van het Privacy Statement op de website

Wil je hier gebruik van maken? Neem dan contact op via [email protected] of via het contactformulier en wij nemen binnen 24 uur contact op.

 

Informatie over de nieuwe privacy wet

De nieuwe privacy wet, hoe zit dat?

Twee jaar geleden (in mei 2016 is de nieuwe Algemene Verordening Gegevensbescherming in werking getreden. Vanaf 25 mei 2018 moeten alle bedrijven zich aan deze nieuwe privacywet houden.  

Wat houdt de nieuwe privacy wet in?

Consumenten krijgen meer rechten als het gaat om controle over hun persoonsgegevens. Bedrijven krijgen meer plichten m.b.t. privacy van consumenten. Door de AVG moet de privacy statement worden uitgebreid. Dit geldt voor zowel bedrijven als verenigingen en stichtingen die persoonsgegevens verzamelen. Een aantal punten zijn belang voor de Privacy Statement:

  • Hoe lang worden gegevens bewaard?
  • Consumenten moeten actief gewezen worden op het recht om gegevens in te zien, aan te passen, aan te vullen of te laten verwijderen.
  • Duidelijk maken dat het recht bestaat om bezwaar te maken.
  • Duidelijk maken wat je met de gegevens doet.
  • Wijzen op het feit dat een toestemming elk moment weer ingetrokken kan worden.
  • Het moet duidelijk zijn dat je een klacht kan indienen bij de Autoriteit Persoonsgegevens
  • Of gegevens worden doorgegeven, al dan niet naar landen buiten de EU
  • Waar komen de gegevens vandaan?

“Consumenten hebben recht op inzage, uitleg en transparantie”, zegt onderzoeksjournalist Brenno de Winter. “Soms kan het zijn dat de inzage wordt geweigerd als er andere belangen zijn. Je hoort wel antwoord te krijgen.” 

Wat zijn persoonsgegevens eigenlijk?

‘Persoonsgegevens’ is een heel ruim begrip. Niet alleen je woonadres, postcode, woonplaats, mobiele nummer, ip-adres of e-mailadres zijn persoonsgegevens, maar ook zaken zoals je aankopen die geregistreerd worden, je belgedrag, hoe vaak je bij een sportvereniging komt en locatiegegevens (zoals in een smartphone). 

Het recht op dataportabiliteit

Met de invoering van de AVG is het recht op dataportabiliteit nieuw.

Wat is het recht op dataportabiliteit? 

Het recht op dataportabiliteit is nieuw met de invoering van de AVG. Stel je wil wisselen van bank, dan kan je de bank vragen om jouw gegevens door te geven aan de nieuwe bank. Hetzelfde geldt als je overstapt naar een andere zorgverzekeraar. Alle gegevens die bij je huidige zorgverzekeraar bekend zijn kun je naar de nieuwe zorgverzekeraar laten sturen, zodat je daar niet het hele aanmeldproces opnieuw hoeft te doorlopen. 

Consumenten krijgen meer controle over hun eigen persoonsgegevens met deze regel. Daarnaast wordt het makkelijker om over te stappen naar een andere aanbieder van een dienst.

Kan je je persoonlijke gegevens laten verwijderen?

Ja, ook dat is een nieuw recht voor consumenten. Je kan een organisatie verzoeken om je persoonsgegevens te laten verwijderen. Dat kan niet overal, zoals bij de Belastingdienst. Stel je bent lid van een sportvereniging en je schrijft je uit, dan kan je de vereniging verzoeken al jouw gegevens te verwijderen. Heeft een bedrijf jouw gegevens ook doorgegeven aan een zusterorganisatie? Dan kan je het bedrijf verzoeken om ook daar jouw gegevens te laten verwijderen.

Hoe zit het met nieuwsbrieven?

Veel bedrijven of organisaties zijn nu consumenten aan het mailen die regelmatig een nieuwsbrief hebben ontvangen om hen te wijzen op de nieuwe privacyregels, of wijzen bezoekers hierop op hun website. Een nieuwsbrief mag onder de AVG gewoon worden verstuurd, zolang je jezelf maar aangemeld hebt voor die nieuwsbrief. Dat is al jaren zo geregeld in de Telecomwet.

Mag je nog een foto op sociale media plaatsen?

Het kan zijn dat je foto’s hebt gemaakt waar mensen op staan. Als je die op je Facebookpagina of website wil plaatsen, dan heb je daar toestemming voor nodig van de geportretteerde. Foto’s met portretten van mensen zijn immers een persoonsgegeven. Je moet een grondslag hebben, zoals toestemming, om de foto te publiceren op je Facebookpagina of Instagramprofiel. Sta je dus op een druk kruispunt in Amsterdam en staan er tientallen mensen op je foto? Dan moet je hun gezichten blurren als je de foto wil publiceren. Dit is echter het geval als je je foto’s beroepsmatig publiceert. 

Stel dat je alleen maar fotografeert als hobby en je publiceert die foto’s niet op tientallen websites, dan wordt dat gezien als ‘persoonlijk of huishoudelijk’ doel. Je valt dan niet onder de AVG. Zet je een hele portfolio online? Dan val je wel weer binnen de AVG. Je kan dus zonder problemen een foto met je vriend of vriendin op je Facebook-, Twitter- of Instagramaccount zetten.

Kinderen op sociale media: toestemming nodig?

Voor kinderen onder de zestien die op sociaalnetwerksites zoals Facebook of Instagram zitten, geldt dat ouders hiervoor toestemming moeten geven. Op Instagram wordt er gevraagd om een geboortedatum. Outlook (van Microsoft) verzoekt een kopie van een identiteitsbewijs of een creditcardbetaling om zo te verifiëren dat de ouders toestemming geven voor gebruik van het programma. Dat vindt De Winter “heel vreemd”, want “toestemming is niet de grondslag”. De Winter noemt het “doorslaan” aangezien er reeds een overeenkomst is.

Bedrijf houdt zich niet aan de wet: wat kan je doen?

Consumenten die denken dat een organisatie zich niet aan de AVG privacywet houdt, kunnen een klacht indienen bij het bedrijf, maar kunnen zich ook wenden tot de Autoriteit Persoonsgegevens of de rechter. 

Hoe hoog zijn de boetes?

Wie zich niet aan de AVG houdt loopt het risico een boete te krijgen. De hoogte van de boete is afhankelijk van de zwaarte van de overtreding en kan oplopen tot twintig miljoen euro (of vier procent van de omzet). “Voor bedrijven is een boete echter niet de grootste bedreiging”, aldus De Winter. “Handhavende maatregelen wel, zoals een berisping of waarschuwing. Ook consumenten kunnen in theorie beboet worden, maar dan moet je het wel heel bont maken.” 

Wat is GDPR? En wie moet zich ermee bezighouden?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Het staat ook wel bekend onder de Engelse afkorting GDPR (General Data Protection Regulation). Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie. De AVG / GDPR zorgt o.a. voor de versterking en uitbreiding van onze privacyrechten, strenger toezicht op het verwerken van persoonsgegevens én voor meer verantwoordelijkheden bij organisaties – van ZZP’ers tot aan grote bedrijven, verenigingen en stichtingen. Zorg dat je voldoet aan deze wetgeving en voorkom een fikse boete.

Wat zijn de (nieuwe) rechten van de betrokkenen?

Toestemming intrekken

Bedrijven en organisaties moeten dus kunnen bewijzen dat ze (geldige) toestemming hebben gekregen voor het verwerken van persoonsgegevens. Maar deze toestemming is niet voor in de eeuwigheid: mensen moeten die toestemming kunnen intrekken. En wel op net zo’n makkelijke manier als ze hun toestemming hebben gegeven.

Recht op vergetelheid

In de situatie voor 25 mei 2018 hebben mensen het recht om hun persoonsgegevens te laten verwijderen. Dit recht wordt uitgebreid: mensen kunnen straks ook eisen dat je deze verwijdering doorgeeft aan alle andere organisaties die de persoonsgegevens van je hebben ontvangen.

Recht op dataportabiliteit

Mensen hebben ook het recht dat je als organisatie hun persoonsgegevens in een standaardformaat aanlevert, of hun persoonsgegevens zelfs doorgeeft aan een leverancier die dezelfde diensten biedt. Autoriteit Persoonsgegevens geeft hierbij het voorbeeld van een sociaal netwerk, waarbij klanten kunnen eisen dat hun gegevens bij uitschrijving worden doorgestuurd naar een concurrerend netwerk.

Recht op inzage

Mensen mogen organisaties vragen of zij persoonsgegevens van hen hebben vastgelegd, en zo ja: welke. Als organisatie moet je dan laten weten om welke gegevens het zijn, waar ze voor gebruikt worden, welke derde partij de gegevens (eventueel) nog meer heeft, en wat de herkomst is van deze gegevens.

Recht om te wijzigen

Mensen hebben het recht om de gegevens die je van hen verwerkt, te wijzigen en aan te vullen. Ook hebben ze recht om jou minder gegevens te laten verwerken.

De 6 grondslagen waarop je persoonsgegevens mag verzamelen

 

  • Toestemming van de gebruiker

 

  • Vitale belangen
  • Wettelijke verplichting
  • Noodzakelijk voor de uitvoering van een overeenkomst
  • Algemeen belang
  • Gerechtvaardigd belang

 

 

Wat moet je als bedrijf documenteren?

Je moet een paar dingen verplicht doen:

  • Een register van verwerkingsactiviteiten bijhouden (minder dan 250 werknemers? Dan wel als je risicovolle gegevens verwerkt, niet incidenteel gegevens verwerkt, of bijzondere persoonsgegevens verwerkt)
  • Verwerk je gegevens met een hoog privacyrisico? Dan moet je een data protection impact assessment (DPIA) uitvoeren. In het Nederlands ook wel een gegevensbeschermingseffectbeoordeling – een ‘instrument’ om van tevoren de privacyrisico’s van deze gegevensverwerking inzichtelijk te maken (en actie te ondernemen)
  • Een overzicht van datalekken die zijn ontstaan.
  • Je moet kunnen aantonen dat iemand toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
  • Is het onduidelijk of je een functionaris voor gegevensbescherming moet aanstellen, dan moet je kunnen onderbouwen waarom je er wel of niet voor hebt gekozen. Deze functionaris houdt toezicht op de toepassing en de naleving van de GDPR/AVG. Overheidsinstanties en publieke organisaties zijn sowieso verplicht om een FG aan te stellen. Andere organisaties: als je op grote schaal individuen volgt en of op grote schaal bijzondere persoonsgegevens verwerkt, en dit tot je kernactiviteit behoort. 

Autoriteit Persoonsgegevens noemt ook de volgende maatregelen, waarmee je extra kunt aantonen dat je aan de eisen voldoet: je aansluiten bij een gedragscode, specifieke certificaten halen, een ICT-beveiligingsbeleid voeren of in een jaarverslag of privacy-jaarverslag verantwoording afleggen over de verwerking van persoonsgegevens.

Let ook op je cookiemelding!

Wat zegt de AVG over cookies? Dat is een beetje dubbel. Eigenlijk vallen alleen cookies die persoonsgegevens verwerken onder de privacywet. Maar het punt is dat je als website-eigenaar nooit weet welke cookies van derde partijen gegevens verwerken. Daarom vallen je cookies in de praktijk dus wel degelijk onder de GDPR.

Het belangrijkste uitgangspunt is dat je als bezoeker per apart verwerkingsdoel toestemming moeten kunnen geven. Zoals je in onze eigen cookiebanner kunt zien, hebben we 4 verwerkingsdoelen:

  • Noodzakelijke cookies (daar hoeven bezoekers geen toestemming voor te geven)
  • Voorkeuren-cookies (voor taal- en cookievoorkeuren)
  • Statistieken-cookies
  • Marketing-cookies

Een cookiewall is dus niet GDPR-compliant, omdat je dan niet per type cookie kunt aangeven of je deze wel of niet accepteert. En als website plaats je al snel meer cookies dan je verwacht. Embed je weleens video’s van YouTube? Cookies. Opvallend voorbeeld uit een Frankwatching-artikel: een embed van New York Times plaatste al 62 cookies. Met onze cookiemanager van CookieInfo hebben we ook meteen een cookiescanner, die elke avond de hele site (13.000 pagina’s!) inventariseert. Zo blijven we scherp!

Privacyreglement Delicious Media

In ons Privacyreglement gebruiken wij een aantal definities (deze definities kunnen in enkelvoud en meervoud worden gebruikt):

Reglement: dit privacyreglement;

Privacywetgeving: Wet bescherming persoonsgegevens (vanaf 25 mei 2018: de Algemene Verordening Gegevensbescherming).

Toelichting op het Reglement

Delicious Media mag de gegevens die jij aan haar verstrekt niet zonder meer verwerken. De Privacywetgeving is bedoeld om de privacy van personen te beschermen. Door deze wetgeving wordt het toegestane gebruik van jouw persoonsgegevens door anderen beperkt. Op grond van deze wet heeft Delicious Media de plicht om haar klanten:

  • op de hoogte te stellen van de wijze waarop en het doel waarmee gegevens door Delicious Media worden verwerkt;
  • te melden wie de gegevens kunnen inzien;
  • voor het verwerken van bepaalde gegevens toestemming te vragen.

Delicious Media vindt jouw privacy belangrijk. Daarom geeft Delicious Media in dit Reglement een toelichting op hoe zij met jouw gegevens omgaat, wat het doel is van het gebruik daarvan en voor de verwerking van welke gegevens Delicious Media expliciet om jouw toestemming moet vragen.

De persoonsgegevens die Delicious Media gebruikt en het doel van het gebruik

Delicious Media verwerkt (mogelijk) jouw persoonsgegevens als je klant wordt of bent van Delicious Media, een werknemer van Delicious Media bent of via het contactformulier contact met ons opneemt. Delicious Media verzamelt jouw naam, adres, telefoonnummer, e-mailadres, kopie ID-bewijs en BSN-nummer. Deze gegevens stellen ons in staat om:

  • de overeenkomst die klanten met Delicious Media sluiten financieel en administratief te kunnen afhandelen;
  • onze dienstverlening te kunnen leveren;
  • onze verplichtingen als werkgever na te komen;
  • klanten of geïnteresseerden te kunnen bereiken als dat nodig is;

om onze dienstverlening verder te ontwikkelen/te optimaliseren.

Verstrekking persoonsgegevens aan derden

Delicious Media verstrekt geen persoonsgegevens aan personen of bedrijven buiten de organisatie, tenzij:

  • dat verplicht is door een wettelijk voorschrift;
  • dat noodzakelijk is voor het uitvoeren van een overeenkomst die Delicious Media met jou heeft gesloten;

je daarvoor toestemming hebt gegeven.

Plichten/beveiligde toegang/geheimhouding/bewaartermijn

  • Delicious Media verwerkt jouw persoonsgegevens uitsluitend overeenkomstig de wet. Dit houdt (onder meer) in dat de gegevens alleen worden verwerkt voor het doel waarvoor ze verkregen worden en op een behoorlijke/zorgvuldige wijze overeenkomstig de wet en dit Reglement.
  • jouw persoonsgegevens kunnen enkel en alleen door het personeel van Delicious Media worden ingezien, tenzij in dit Reglement anders is bepaald. Al jouw persoonsgegevens worden door Delicious Media beveiligd tegen onbevoegde toegang. De beveiliging bestaat:  
  • uit het hebben van een persoonlijk wachtwoord voor iedere werknemer om in te loggen in het digitale systeem.
  • de medewerkers van Delicious Media hebben een geheimhoudingsplicht ten aanzien van alle aan Delicious Media verstrekte persoonsgegevens;
  • Delicious Media heeft technische maatregelen genomen om het door haar gebruikte systeem te beveiligen tegen inbreuken van buitenaf overeenkomstig de wet;
  • jouw persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor een goede administratie. Delicious Media hanteert een termijn van twee jaar na de laatste aankoop/bestelling/factuur, waarna de gegevens vernietigd worden. De wet kan een andere bewaartermijn voorschrijven. Als dat zo is zal Delicious Media zich aan de voorgeschreven wettelijke bewaartermijn houden.

Jouw rechten als betrokkene

  • recht op informatie: het recht om te weten of en welke persoonsgegevens van jou verwerkt worden en met welk doel;
  • inzagerecht: het recht op inzage en afschrift van die gegevens voor zover de privacy van een ander daardoor niet wordt geschaad;
  • het recht op correctie, aanvulling of verwijdering van gegevens indien dat nodig mocht zijn (recht op correctie en verwijdering). Aan het recht om (gedeeltelijke) verwijdering van jouw gegevens te vragen, kan alleen tegemoet gekomen worden als het bewaren van de gegevens voor een ander niet van aanmerkelijk belang is en de gegevens niet op grond van een wettelijke regeling bewaard dienen te blijven;
  • het recht van verzet: het recht om je in bepaalde gevallen tegen de verwerking van jouw gegevens te verzetten;
  • het recht op dataportabiliteit: het recht om de persoonsgegevens die van jou bewaard worden te ontvangen om over te kunnen dragen naar een andere organisatie;  
  • het recht op een menselijke blik bij geautomatiseerde besluiten. Bij een geautomatiseerd besluit is er het recht om de beslissing te laten nemen door menselijke tussenkomst.   

Als je gebruik wilt maken van jouw rechten, dan kun je dit per email bij op [email protected] aangeven. Als jouw verzoek wordt afgewezen wordt aan jou uitgelegd waarom. Een reden kan zijn dat jouw dossier informatie bevat die van belang is of kan zijn voor anderen. Je ontvangt binnen één maand na ontvangst van jouw verzoek bericht van Delicious Media.

Ook als je een klacht hebt over de wijze van verwerking van jouw persoonsgegevens kun je contact opnemen met ons om er samen uit te komen.  Heb je een (andere) opmerking/vraag/suggestie? Ook daarvoor kunt je schriftelijk contact met ons opnemen. Uiteraard zal Delicious Media ook met de in dit verband verstrekte persoonsgegevens vertrouwelijk en zorgvuldig omgaan.  Onze actuele contactgegevens zijn te vinden op de contact-pagina.

Privacyreglement Delicious Media versie april 2018