Sinds mei 2018 is Europese privacy wetgeving van kracht, ook bekend als de AVG of GPDR. De wet roept in de praktijk veel vragen op. Het is belangrijk om na te gaan hoe de nieuwe privacywet van toepassing is op telefonische acquisitie en de bellijsten die je hiervoor samenstelt. Beter voorkomen, dan genezen.
In dit artikel: Wat zijn persoonsgegevens en wat wordt verstaan onder verwerking?
In een reeks van drie blogs lees je onze interpretatie van de AVG wetgeving met betrekking tot telemarketing. Om meer duidelijkheid te krijgen, zijn we in de informatie gedoken die de Autoriteit Persoonsgegevens ter beschikking stelt en is er een uitgebreid telefoongesprek geweest met één van hun medewerkers.
In dit eerste blog van drie scheppen we duidelijkheid over persoonsgegevens en de verwerking van persoonsgegevens.
De wet AVG
De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Deze privacywet is in Europa van kracht per 25 mei 2018. Het doel van de wet is om de persoonsgegevens van burgers in Europa beter te beschermen. Dit betekent voor iedereen die met persoonsgegevens werkt, dat je dit niet meer zomaar mag doen.
Iedere organisatie in Nederland die te maken heeft met het verwerken van persoonsgegevens – wat natuurlijk élke organisatie betreft – dient vanaf inwerkingtreding van deze wet na te denken over de manier waarop zij gegevens verwerken en aan de richtlijnen te voldoen die door de wetgever zijn opgesteld.
Dit heeft invloed op nagenoeg alles dat binnen de organisatie gebeurd. Van sales tot facturatie. Plaatst iemand een bestelling in de webshop? Persoonsgegevens. Schrijft iemand zich in voor de nieuwsbrief? Persoonsgegevens. Wil je nieuwe business binnen halen via telefonische acquisitie? Persoonsgegevens.
De AVG wetgeving laat veel zaken aan eigen interpretatie over en stelt dat organisaties de verantwoording dragen om aan te tonen dat aan de privacy regels wordt voldaan. Hoe die regels exact worden geïnterpreteerd door de Autoriteit Persoonsgegevens blijft vaag. Goed om je hierin te verdiepen om problemen achteraf te voorkomen.
Wat zijn persoonsgegevens?
Laten we beginnen bij het begin. We hebben het over de verwerking van persoonsgegevens, dus is het belangrijk om duidelijk te hebben wat we onder persoonsgegevens verstaan.
De definitie van een persoonsgegeven binnen de AVG is als volgt (bron):
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
De term persoonsgegevens heeft dus betrekking op informatie die direct over iemand gaat of naar deze persoon te herleiden is. Voor de hand liggende persoonsgegevens zijn: naam, adres, BSN nummer, bankrekeningnummer, woonplaats, telefoonnummer, postcode in combinatie met een huisnummer of e-mail adres. Ook is bijvoorbeeld iemands aankoopgeschiedenis een persoonsgegeven.
Gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksuele gedrag of seksuele gerichtheid blijkt, vallen onder bijzondere persoonsgegevens. Deze gegevens zijn extra beschermd.
Je kunt je als commerciële partij bedenken dat de verwerking van deze gegevens voor acquisitie doeleinden niet toegestaan is, omdat jouw belang om deze gegevens op te slaan en te gebruiken per definitie niet groter is dan degene op wie deze persoonsgegevens betrekking hebben. Daarbij is het verboden om persoonsgegevens in deze bijzondere categorieën te verwerken, tenzij er een specifieke uitzondering van toepassing is, of de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking.
Gegevens van overleden personen of organisaties zijn volgens de AVG geen persoonsgegevens. Let wel, een eenmanszaak en een VOF zijn ook natuurlijke personen. Elke andere rechtsvorm is een rechtspersoon, waarop de AVG wet niet van toepassing is.
Wat is het verwerken van persoonsgegevens?
Aangezien de wet betrekking heeft op het ‘verwerken’ van de persoonsgegevens die hierboven zijn genoemd, gaan we verder met het stellen van het kader. Want, wat verstaan we onder het verwerken van persoonsgegevens?
Onder het verwerken van persoonsgegevens valt: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.
Dit is een zeer ruim begrip en laat geen grijs gebied over. Deze opvatting heeft begrip op álles wat je zou kunnen doen met persoonsgegevens.
Volgens de AVG zijn de handelingen die hieronder specifiek vallen in ieder geval: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.
Wanneer is de AVG van toepassing?
De AVG is alleen van toepassing wanneer er sprake is van:
1. een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens; of
2. wanneer persoonsgegevens opgenomen zijn in een bestand of daartoe bestemd zijn.
Bel je mensen rechtstreeks na het bezoeken van een LinkedIn pagina op een mobiel telefoonnummer, dan is dat dus anders dan dat je een lijst maakt voor acquisitie doeleinden.
Credits afbeelding: Anna Tarazevich
Meer uit deze reeks:
In deel 2: Waarmee moet je rekening houden bij het maken van je acquisitie lijst?
In deel 3: Hoe kan je telefonische acquisitie doen én toch voldoen aan de AVG?
Disclaimer: De inhoud van dit artikel dient niet ter vervanging van juridisch advies. Je kunt aan de uitleg op deze pagina geen rechten ontlenen. Voor advies over een specifieke situatie: neem contact op met een advocaat, jurist of de Autoriteit Persoonsgegevens. Wij kunnen je ook verwijzen binnen ons netwerk.