GDPR/AVG vanaf nu in werking: de 4 belangrijkste veranderingen
Het is je vast opgevallen door alle notificaties en e-mails van bedrijven die plots hun privacybeleid updaten. De nieuwe Europese privacyverordening, ook wel GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) is vanaf nu in werking en dat zorgt voor een aantal grote veranderingen.
Er zijn veel vragen over de nieuwe wet. Daarom hebben wij de meest gestelde vragen en belangrijkste veranderingen op een rij gezet.
Lang artikel… Liever luisteren?
In onderstaande podcast praat OMT-hoofdredacteur Raymon je samen met co-host Maarten binnen 8 minuten bij over GDPR.
Waarom een nieuwe wet?
Het was al langer de wens om de privacywetgeving van alle Europese lidstaten te harmoniseren. Tot nu toe had iedere lidstaat zijn eigen wet en dat was lastig voor bedrijven die in heel Europa zaken willen doen. De AVG vervangt in Nederland de Wet bescherming persoonsgegevens, die stamt uit de jaren negentig. De nieuwe wet is een verordening en treedt dus direct in werking. Het is geen Europese richtlijn die landen kunnen omzetten in eigen wetgeving. Iedereen dezelfde spelregels.
Het tweede doel van de nieuwe wet is het beter beschermen van de privacy van Europese internetgebruikers. In de GDPR staat een boel dat we al kennen uit de oude, Nederlandse wet, maar er zijn ook een boel nieuwigheden die je privacy beter moeten beschermen. De wet is van toepassing op alle bedrijven en instanties die persoonsgegevens verwerken.
Geldt de GDPR alleen voor bedrijven binnen de EU?
Nee. Bedrijven die buiten de EU zijn gevestigd, maar persoonsgegevens van Europese burgers verwerken, zijn ook aan de wet gebonden.
Wat wil ‘persoonsgegevens verwerken’ zeggen?
De privacywet richt zich op het verwerken van persoonsgegevens. Maar wat wil dat eigenlijk zeggen? Persoonsgegevens zijn gegevens die kunnen worden gebruikt om iemand direct of indirect te identificeren. Je naam is een voorbeeld van een gegeven dat gebruikt kan worden om je direct te identificeren. Soms kan een combinatie van gegevens gebruikt worden om je indirect te identificeren. Denk daarbij aan je IP-adres, locatiegegevens, uiterlijke kenmerken en sociale kenmerken.
Een verwerker is iemand of een organisatie die persoonsgegevens opslaat, gebruikt, combineert of op een andere manier inzet. Google, Apple en Facebook zijn verwerker van persoonsgegevens. Maar je lokale sportclub met een ledenadministratie is dat ook.
Gegevens verwerken mag niet zonder toestemming
Om jouw gegevens te mogen verwerken, dient een organisatie in de meeste gevallen toestemming te vragen. Toch zijn er een aantal uitzonderingen, bijvoorbeeld voor overheden. Je hoeft niet aan de gemeente te melden dat je geen bezwaar hebt tegen het verschijnen op beveiligingscamera’s, want dit dient het algemeen belang. Een bedrijf dat wettelijke verplicht is om je gegevens aan de belastingdienst door te geven, hoeft hier ook geen toestemming voor te vragen. Denk ook aan een simpele overeenkomst: een webshop heeft je naam en adres nodig om een pakketje af te leveren.
In alle andere gevallen, dien je toestemming te geven voor verwerking van je persoonsgegevens. Daar komen ook de eerste vernieuwingen in de wet om de hoek kijken.
Wat zijn de belangrijkste vernieuwingen voor burgers?
De GDPR geeft je als burger een aantal nieuwe rechten. Die zorgen ervoor dat je meer controle over je privacy en gegevens hebt, maar ook dat bedrijven je niet met één klik toestemming kunnen laten geven voor het gebruik van al je persoonlijke data. Dit zijn de vier belangrijkste nieuwigheden:
1. Actieve handeling verrichten voor toestemming
Wil je een bedrijf toestemming geven voor het verwerken van je persoonsgegevens? Dan moet die toestemming bestaan uit een “ondubbelzinnige actieve handeling”. Dat wil zeggen dat stilzwijgende toestemming en het gebruik van vooraf aangekruiste hokjes op een pagina niet meer mag. Ook moet bij een internetdienst het vragen om toestemming niet onnodig lang zijn en mag het niet storend zijn voor het gebruik van de dienst.
Dit verplicht bedrijven overigens niet om je toegang tot een dienst te verschaffen als je niet akkoord gaat met de verwerking van persoonsgegevens. Een “slikken of stikken” optie zoals Instagram zijn gebruikers voorlegt, is binnen de wet.
2. Bulktoestemming is niet langer toegestaan
Het idee “Klik één keer op de akkoord-knop en we mogen alles met je gegevens doen” gaat ook niet langer op. Organisaties mogen je nu de AVG van toepassing is niet langer in één keer toestemming voor meerdere verwerkingsdoelen vragen. Stel een bedrijf wil je gegevens verwerken voor het verbeteren van zijn kunstmatige intelligentie en je ook een persoonlijke nieuwsbrief sturen, dan moet voor alle twee die doelen toestemming gevraagd worden. Het moet dan duidelijk zijn wie de partij is die om toestemming vraagt, wat het doel van de verwerking is en welke gegevens verzameld worden.
3. Dataportabiliteit
Je hebt volgens de Nederlandse privacywet altijd al het recht gehad om de gegevens die een organisatie verwerkt in te zien. Door GDPR gaat dit echter nog een stap verder. Je hebt nu recht op dataportabiliteit. Dat wil zeggen dat bedrijven je gegevens in een “gestructureerd, gangbaar en machineleesbaar formaat” aan moeten leveren. Denk aan een json-bestand, excelsheet of csv-file.
Veel bedrijven hebben om hieraan te voldoen een zogenaamde take-out-tool gemaakt. Die van Apple is sinds kort live. De AVG schrijft niet voor dat deze gegevens meteen beschikbaar gesteld moeten worden. Organisaties kunnen de tijd nemen om dit zorgvuldig te doen. Apple heeft bijvoorbeeld maximaal 7 dagen nodig.
4. Gegevenswissing
De laatste grote vernieuwing is het recht op vergetelheid. Je kon organisaties altijd al vragen om foutieve gegevens te wissen, maar nu gaat dat voor alle persoonsgegevens gelden. Je kunt organisaties vragen om al je persoonsgegevens te wissen. Dat moet je wel op een bepaalde grond doen. Bijvoorbeeld als de gegevens niet meer nodig zijn voor het doel waarvoor ze verzameld zijn. Denk bijvoorbeeld aan een tennistoernooi waaraan je mee hebt gedaan en dat is voorbij. Je kunt de organisatie dan vragen om de persoonsgegevens die je bij inschrijving hebt opgegeven te wissen. Een andere grond is dat je de toestemming voor het verwerken van gegevens intrekt. In zo’n geval moet de organisatie je persoonsgegevens meteen wissen.
Let op dat het gaat om het wissen van persoonsgegevens. Gegevens die niet als persoonsgegevens aangemerkt worden, hoeven niet gewist te worden. Ook zijn er soms zwaardere belangen die kunnen voorkomen dat je persoonsgegevens gewist worden. De wet maakt bijvoorbeeld een uitzondering voor journalistieke of literaire uitdrukkingsvormen. Maar denk ook aan het archief van de belastingdienst of politie.
Waarom moet ik steeds opnieuw toestemming geven?
Een veelgehoorde ergernis is dat consumenten door de AVG wel bij honderd diensten opnieuw toestemming moeten geven om hun gegevens te verwerken. In principe is het opnieuw vragen van toestemming alleen nodig als een organisatie niet kan bewijzen dat je een “ondubbelzinnige actieve handeling” hebt verricht om de toestemming te geven. Ben je in het verleden op een mailinglijst gezet omdat een vinkje automatisch aan stond? Dan zal je opnieuw toestemming moeten geven. Heb je jezelf voor een nieuwsbrief aangemeld en die aanmelding bevestigd? Dan is de toestemming in orde. Veel organisaties zullen echter ook denken: better safe than sorry.
Geldt GDPR alleen voor grote bedrijven?
Nee, dit is een belangrijk misverstand. De nieuwe wet geldt niet alleen maar voor grote bedrijven zoals Facebook of Google, maar ook voor kleine bedrijven zoals eenmanszaken. Ook clubs, stichtingen en verenigingen moeten de wet naleven. Er zijn wel andere eisen aan grote bedrijven. Ieder bedrijf met 250 of meer werknemers, moet een GDPR-register bijhouden waarin ze de verwerkingsactiviteiten bijhouden. Daarin moet bijvoorbeeld staan welke gegevens met welk doel verwerkt worden en met wie die gedeeld worden. Ook moeten beveiligingsmaatregelen gedocumenteerd worden.
Wordt naleving van de AVG actief gecheckt?
Ja. In theorie dan. De autoriteit persoonsgegevens heeft nu de toestemming gekregen om actief te gaan controleren. In hoeverre dat ook gaat gebeuren, is de vraag. Wij verwachten een soortgelijke situatie als het rookverbod in de horeca. Wel controle, maar minimaal.
Wat als ik vermoed dat mijn data misbruikt wordt?
Schrijf allereerst de organisatie aan. Vraag zelf informatie, bijvoorbeeld hoe ze aan je gegevens komen. Ze zijn je verplicht om die informatie te geven, want het recht op informatie uit oude privacywet staat ook in de AVG. Je kunt ook de toestemming om gegevens te verwerken intrekken en je op het recht op vergetelheid (punt 4) beroepen.
Vermoed je dat het misbruik structureel is of krijg je geen antwoord? Dan kun je dit melden bij de autoriteit persoonsgegevens. Die zal beoordelen of je klacht gegrond is, de onderneming controleren en eventueel een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet. In geval van Apple kan dat maximaal 9,6 miljard dollar zijn. Kleine bedrijven die nog niet helemaal klaar zijn voor de AVG, hoeven zich niet al te veel zorgen te maken. Minister Dekker voor Rechtsbescherming heeft onlangs gezegd dat er in het begin schappelijk zal worden omgegaan met overtredingen van de nieuwe Europese AVG.