De nieuwe Algemene Verordening Gegevensbescherming (AVG) is vanaf 25 mei van kracht. Dat heeft flink wat gevolgen voor bijna iedere branche in Nederland. We vroegen Bovag waar ondernemers in de carwash-sector nou precies op moeten gaan letten. Aan de hand van vijf vragen legt Bovag-juriste Simone Diemel uit wat er gaat veranderen voor de carwashbranche.

Wat heeft de wetsverandering voor invloed op de dagelijkse gang van zaken in de carwash of wasstraat?
“De AVG zorgt ervoor dat je al je bedrijfsprocessen moet inventariseren. In al die processen zitten persoonsgegevens verscholen en je moet in beeld gaan brengen op welke wijze je als organisatie deze persoonsgegevens verwerkt. Daarbij moet je jezelf steeds afvragen of je de verwerking eigenlijk wel mag doen, of het noodzakelijk is, of het ook minder ingrijpend voor de klant kan en wat het doel van de verwerking is. Als je al die processen hebt geïnventariseerd, kom je op het punt dat je een privacy policy kunt gaan opstellen.”

“Je bent verplicht een privacy policy te hebben, zodat het voor klanten duidelijk is welke persoonsgegevens er waarvoor gebruikt worden. Een transparante en volledige privacy policy is niet alleen noodzakelijk om aan de AVG te voldoen, ook kom je hiermee betrouwbaar bij klanten over. Een voorbeeld van een privacy policy staat in de BOVAG privacy tool. Dit is een handig en bruikbaar model dat leden zelf kunnen aanvullen met gegevens uit hun eigen bedrijf.”

Wat verandert er precies, wat mag wel en wat mag niet?
“Ik zal een paar voorbeelden geven van nieuwe verplichtingen”

Privacy by design
“Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.”

Privacy by default
“Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wil bereiken. Bijvoorbeeld door:
– Een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is.
– Op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken.
– Als iemand zich op je nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.”

Dataportabiliteit:
“Mensen hebben op grond van de AVG (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.”

Recht om vergeten te worden:
“Mensen hebben het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Op grond van de AVG kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.”

Het recht met betrekking tot geautomatiseerde besluitvorming en profiling
“Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. Dit gebeurt bijvoorbeeld bij profilering. De AVG geeft mensen recht op een menselijke blik bij besluiten die over hen gaan. Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst. Wil een bedrijf een besluit nemen op basis van automatisch verwerkte gegevens? En zitten daar voor de betrokken persoon consequenties aan? Dan heeft deze persoon het recht zich te beroepen op dit artikel. Dat betekent dat het bedrijf een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.”

Verwerkersovereenkomsten
“Als je andere partijen inschakelt om persoonsgegevens voor je te verwerken, moet je met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met een verwerkersovereenkomst sluit je uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als je de gegevensverwerking door een verwerker laat uitvoeren, dan ben je nog steeds verantwoordelijk voor de naleving van de AVG.”

De welbekende waspassen; wat heeft de nieuwe wet daar voor invloed op?
“De wet heeft daar zeker invloed op aangezien er persoonsgegevens verwerkt worden. Ik ga er vanuit dat dit een pas is van het bedrijf zelf. Ik weet niet precies welke persoonsgegevens voor welke doeleinden in verschillende waspassen worden verwerkt, maar ik vermoed dat dit een pas is waar de klantgegevens op staan: naw-gegevens, wanneer de klant de auto heeft gewassen en mogelijke kortingen. Mijn advies is om na te gaan welke gegevens je op een waspas verwerkt om vervolgens te kijken of dit noodzakelijk is voor het doel dat je nastreeft of dat het wellicht ook minder ingrijpend voor de klant kan. Geef klanten duidelijk aan welke gegevens er verwerkt worden middels de waspas.”

Zelfde voor het verzamelen van klantgegevens voor mailings en nieuwsbrieven, wat gaat op dit vlak veranderen en mag dit in de toekomst ook nog gewoon?
“Het is belangrijk een onderscheid te maken in bestaande betalende klanten en niet-klanten.
Bedrijven mogen hun bestaande betalende klanten een commerciële mailing sturen zolang de inhoud van die mailing wel gelijk is aan wat de klant bij hem koopt. Een klant die zijn auto laat wassen, mag door het autowasbedrijf benaderd worden met autowas gerelateerde zaken. Het bedrijf moet de klant in zo’n mailing wel de mogelijkheid bieden om zich af te melden voor de mailing. Bedrijven mogen hun bestaande betalende klanten een nieuwsbrief sturen. Het bedrijf moet de klant in de nieuwsbrief de mogelijkheid bieden om zich af te melden voor de nieuwsbrief.”

“Potentiële klanten of klanten die al gedurende langere tijd geen betaalde diensten van het bedrijf hebben afgenomen, mogen voor digitale nieuwsbrieven of commerciële mailings alleen benaderd worden als zij daar toestemming voor hebben gegeven. Daarbij moet het duidelijk zijn waar de potentiële klant (of ex-klant) precies toestemming voor geeft en er moet een afmeldmogelijkheid in de e-mail opgenomen zijn.”

Hoe werkt het bijvoorbeeld met winnaars van acties van de carwash?
“Je mag de gegevens en/of een foto van een klant/winnaar niet zomaar op je website of op sociale media plaatsen. Daar is toestemming van de klant voor nodig. Als het gaat om een foto, is dat een bijzonder persoonsgegeven waarvoor een hoge mate van bescherming geldt. Denk er dus aan die toestemming te vragen. Dat zou je ook kunnen doen middels de actievoorwaarden, dat een deelnemer deze accepteert door actief een vinkje te zetten. Let er daarbij op dat er duidelijk wordt aangegeven waar de deelnemer precies toestemming voor geeft.”

Lees ook: TanQyou organiseert seminar over gevolgen nieuwe privacywet