Categorieën
Wetgeving

Wetswijziging Telecommunicatie: een verplicht opt-in systeem

Vanaf 1 Juli 2021 treedt de wijziging van de Telecommunicatiewet in werking. Door deze wijziging verdwijnt het Bel-me-niet-register en wordt een verplicht opt-in-systeem van kracht. Dit heeft niet alleen gevolgen voor de klantwerving, maar ook voor de verwerking van klantgegevens. Wat betekent dit voor jouw bedrijf? Aan welke regels zal je moeten voldoen?

Telefonisch klanten werven

Je kent het wel, je laat je telefoonnummer achter om een whitepaper te downloaden en wordt vervolgens door het bedrijf benaderd over hun diensten. Hier zitten steeds minder mensen op te wachten, het voelt namelijk als een inbreuk op de privacy.

Om onverwachte commerciële telefonische benaderingen te voorkomen wordt daarom vanaf 1 Juli een specifieke opt-in verplicht gesteld. Er moet door alle natuurlijke personen, waaronder particulieren, ZZP’ers, en eenmanszaken, specifiek toestemming gegeven zijn voor een telefonische benadering. Dit is niet nodig indien er al sprake is van een bestaande klantrelatie.

Klantrelaties

Wanneer het telefoonnummer is achtergelaten bij een transactie mag de klant wel gebeld worden. Ook donateurs, vrijwilligers en sympathisanten van goede doelen mogen gebeld worden. Dit mag tot drie jaar na de financiële transactie of tot drie jaar nadat er voor het laatst toestemming is gegeven voor telefonische benadering.

Koude acquisitie

Hoe zit het dan met koude acquisitie, het bellen van potentiële klanten die nog niet in aanraking zijn geweest met jouw bedrijf? Alle telefoonnummers die privé gebruikt worden, mogen niet meer zonder opt-in benaderd worden. Dit geldt dus ook voor bijvoorbeeld eenmanszaken die met hun privénummer ingeschreven staan bij de Kamer van Koophandel. Zakelijke rechtspersonen zoals stichtingen, coöperaties en BV mogen echter wel nog benaderd worden zonder opt-in.

Opt-in

Het is niet alleen verplicht om een opt-in te gebruiken, maar ook om aan te tonen dat er een opt-in afgegeven is. Er zijn een aantal zaken verplicht om te registreren volgens de AVG:

  • Wie heeft deze toestemming gegeven?
  • Hoe is deze toestemming gegeven?
  • Wat is de bron van de toestemming?
  • Wanneer is er toestemming gegeven?
  • Welke toestemming is gegeven?
  • Wat is de status van de toestemming?

Verder moet het voor betrokkenen net zo gemakkelijk zijn om hun toestemming in te trekken als het verschaffen van hun toestemming. Indien zij een online opt-in hebben afgegeven, moet deze ook online weer opgeheven kunnen worden. Daarnaast mogen er geen nadelige gevolgen aan het opheffen van een opt-in zitten.

Wil je zeker weten dat jouw bedrijf aan de meest actuele eisen voldoet? Beantwoord de vragen van onze check en kom erachter in hoeverre jouw bedrijf AVG-proof is. Wij kunnen je helpen met het opstellen en implementeren van de juiste protocollen zodat jij volledig AVG-proof te werk kan gaan. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Categorieën
Wetgeving

Waarom sluit je een verwerkersovereenkomst af?

Als ondernemer schakel je vaak andere organisaties in om persoonsgegevens voor je te verwerken. Een dergelijke organisatie noemen wij een verwerker. Zelf blijf je verwerkersverantwoordelijke. Denk bijvoorbeeld aan de accountant die de boekhouding van je bedrijf verzorgt of het salaris administratiebureau dat jou ondersteunt bij je personeelszaken. Maar bijvoorbeeld ook aan een clouddienst om de persoonsgegevens op te slaan. Uiteraard is met het inschakelen van een verwerker niets mis, maar in dat geval is wel van belang dat je je verantwoordelijkheid neemt om ervoor te zorgen dat de door jou aangeleverde persoonsgegevens op een voldoende veilige wijze worden verwerkt.

Verantwoordelijkheid

Volgens de geldende privacywetgeving dien je als verwerkingsverantwoordelijke met de verwerker een verwerkersovereenkomst te sluiten. Doe je dit niet, dan zijn jullie beiden in overtreding. De Europese Commissie heeft een standaard voorbeeldovereenkomst ter beschikking gesteld, die in dit verband gebruikt kan worden.

Zoals al wel blijkt uit de naam, blijf je als verwerkingsverantwoordelijke altijd (eind)verantwoordelijk voor de persoonsgegevens die door je verwerker worden verwerkt. De achterliggende gedachte hiervan is dat je als ondernemer zelf de keuze maakt om het verwerken van deze gegevens uit te besteden en de gegevens dus met een ander te delen. Je klanten of personeelsleden mogen hiervan niet de dupe worden. Zij hebben ook geen directe relatie met je verwerker.

Overigens neemt dit niet weg dat je verwerker ook een eigen verantwoordelijkheid hierin draagt, ook zij zal zich moeten houden aan de privacyregels. Je doet er als verwerkingsverantwoordelijke daarom goed aan om je verwerker hierop te wijzen, temeer omdat jij dus de eindverantwoordelijkheid draagt wanneer je verwerker over de schreef gaat. Denk bijvoorbeeld aan het laten ontstaan van een datalek. Hierbij is het je zelfs toegestaan om je verwerker bepaalde instructies mee te geven, bijvoorbeeld over de wijze waarop zij de persoonsgegevens dient te verwerken of deze veilig dient te bewaren.

Wat staat erin?

Kort gezegd, is het doel van het sluiten van een verwerkersovereenkomst dat je als verwerkingsverantwoordelijke uitsluit dat je verwerker de van jou ontvangen persoonsgegevens voor eigen doeleinden verwerkt. Het is dan ook belangrijk dat je alleen verwerkers inschakelt die voldoende garanties bieden dat zij voldoen aan de wettelijke vereisten.

In de verwerkersovereenkomst regel je standaard een aantal onderwerpen. Zo zal je in de overeenkomst onder meer beschrijven welke persoonsgegevens precies worden verwerkt en wat de duur, de aard en het doel is van de verwerking. Ook zal je hierin ingaan op de categorieën personen wiens gegevens worden verwerkt en op welke wijze de verwerking plaatsvindt. In de overeenkomst neem je ook de instructies op die je als verwerkingsverantwoordelijke aan de verwerker geeft.

Verder kun je denken aan een geheimhoudingsplicht, die geldt voor personen die in dienst van of werkzaam zijn voor je verwerker. Ook zij dragen immers een verantwoordelijkheid. En natuurlijk wordt in de overeenkomst opgenomen welke technische en organisatorische maatregelen worden genomen om de verwerking van de persoonsgegevens te beveiligen.

Regel dit goed

Kortom, zorg ervoor dat je dit aspect goed regelt als je verwerkers inschakelt. Je wilt uiteraard voorkomen dat persoonsgegevens op straat komen te liggen of dat je op enig moment met een flinke boete van de Autoriteit Persoonsgegevens geconfronteerd wordt. En het past natuurlijk ook niet bij de professionaliteit die je met je bedrijf wilt uitstralen.

Wil je zeker weten dat jouw bedrijf aan de meest actuele eisen voldoet? Beantwoord de vragen van onze check en kom erachter in hoeverre jouw bedrijf AVG-proof is. Wij kunnen je helpen met het opstellen en implementeren van de juiste protocollen zodat jij volledig AVG-proof te werk kan gaan. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Over de auteur: Niels Vanaken is advocaat bij Open Legal Advocaten. Hij staat met name ondernemers bij op diverse juridische terreinen.