In de AVG worden dit "persoonlijke voorkeuren en interesses" genoemd. Het nemen van automatische beslissingen op basis hiervan wordt "profiling" genoemd. Hiervoor is expliciete toestemming nodig. Als klanten zelf hobby's aanvinken en je vermeldt er duidelijk bij dat dit gebruikt wordt om het aanbod aan te passen, dan geldt dit als expliciete toestemming.

Als verwerkingsverantwoordelijke moet je kunnen aantonen dat die toestemming is gegeven. Je moet op de server dus een logboek bijhouden. De klant moet zijn toestemming ook weer kunnen intrekken. Dat kan hij bijvoorbeeld doen door zijn profiel op jouw server aan te passen.

Nee, het mag niet *zonder toestemming* verwerkt worden.


Ja dit mag.


Zegt de term ''geen toestemming'' niet genoeg ? Nee, zonder toestemming mag dit niet.

Heb ik zonder toestemming toestemming ? Nee, natuurlijk niet.

Je mag dus wel mensen zelf hobbies laten aanvinken en daarbij ook toestemming laten aanvinken om hierop afgestemde aanbiedingen te krijgen.

Je mag niet uit hun aankopen conclusies over hun hobbies trekken, dat per klant opslaan en daar aanbiedingen op baseren aan die klanten. Ook als je de klanten daarover informeert is dat niet genoeg.

Is het zonder een verbod verboden? Nee natuurlijk niet.

Is de AVG een strijd van EU tegen bigdata? Dit klinkt te mooi om waar te zijn, wat is de catch? Of wordt het net zoals onze Cookiewet een praktisch onwerkbaar en geldverslindend hobbyproject van een gesubsidieerde werkgroep?

AVG is de opvolger van de WBP (Richtlijn 95/46/EG).

De WBP had door elk EU land geimplementeerd moeten worden en liefst zo dat je gegevens in elk EU land op dezelfde manier beschermd worden. Maar door verschillen in de implementatie (en de duur daarvan, Nederland als mooie kampioen langzaam lopen) is het niet zo handig geworden als bedoeld. Ook was er te weinig mogelijkheid voor handhaving.

EU bedrijven die vestigingen in verschillende EU landen hebben, liepen dus steeds aan tegen verschillende wetgevingen als het over hun klantgegevens gaat.
De AVG (GDPR) beoogt om dit recht te trekken, als in elk EU land dezelfde regels gelden is het voor een bedrijf een stuk simpeler om klantgegevens over de grens te verplaatsen (bv. omdat je je CRM bij het hoofdkantoor hebt voor filialen in verschillende landen) zonder je aan diverse wetgeving aan te moeten passen, die misschien zelfs op punten onderling tegenstrijdig waren.

Uiteraard ontstaan er toch weer wat implementatieverschillen maar die zitten, vermoed ik, meer in de kant van de openbare orde en opsporing dan van de "gewone" bedrijven en organisaties; en het is nog niet overal duidelijk hoe het handhaven gaat lopen, maar dat hoeft niet zorgelijk te zijn voor een bedrijf als maar duidelijk is waar je je aan moet houden.

Kortom, de AVG geeft de burger veel meer rechten ("hé, wat doe jij met mijn gegevens?!") en maakt het voor bedrijven makkelijker om aan de wetgeving voor bescherming van persoonsgegevens te voldoen binnen de hele EU.
Ook voor landen buiten de EU die met de EU willen handelen, is nu duidelijk waar men zich aan te houden heeft.

De Cookiewet is een Nederlandse implementatie van een onderdeel van de e-Privacy wetgeving en inderdaad behoorlijk onwerkbaar (zo te zien hier https://blog.intracto.com/de-belgische-cookiewetgeving-doorgelicht is het in België niet perse beter), maar dat kun je de EU niet kwalijk nemen.

(of je moet vinden dat ze strakkere richtlijnen moeten opstellen, maar dat vinden anderen weer dictatoriaal. De EU kan het niet gauw goed doen, ook wel logisch aangezien elke politicus zijn falen op de EU afschuift, en niet iedereen de moeite neemt om na te gaan of dat wel klopt).

Overigens als ik bijgaande link https://www.bureaubrandeis.com/e-privacy-verordening/ mag geloven dan wordt de nieuwe e-Privacy wet inderdaad een Verordening in plaats van een richtlijn. Dus meer duidelijkheid (of ben ik nou te optimistisch? In ieder geval zou het een verbetering zijn t.o.v. de huidige Cookiewet in Nederland).

Graag wil ik op de hoogte blijven van het nieuws van de BMW

Dat kan hier: https://www.bmw.nl/