Mijn mailbox stroomt vol met berichten over de AVG. Wat is er aan de hand?
Tot vandaag kende Nederland zijn eigen privacy- bescherming. Dat is nu voorbij. Met de General Data Protection Regulation (GDPR) - in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) - gelden voortaan in heel Europa dezelfde regels. De AVG ging in mei 2016 al in, maar bedrijven en organisaties kregen twee jaar om aan de nieuwe eisen te voldoen.
Waarvoor zijn nieuwe privacyregels nodig?
De huidige regels stammen uit de oertijd van het internet, toen er nog geen Googles, Facebooks en smartphones bestonden. De Europese Commissie stelde daarom in 2012 voor de uit 1995 stammende Datarichtlijn flink te moderniseren. Het resultaat is de 99 artikelen en 11 hoofdstukken tellende AVG. In Nederland vervangt deze de Wet bescherming persoonsgegevens (Wbp).
Lees ook: Waarom ondernemers worstelen met de nieuwe privacywet AVG
Voor wie gelden de nieuwe privacyregels?
Voor alle organisaties die persoonsgegevens verwerken en in de EU zijn gevestigd of er actief zijn. Van de grote multinational tot mkb-bedrijven en zzp'ers. En van de KNVB tot de lokale kantklosclub. Maar Amerikaanse techgiganten als Google en Uber moeten er net zo goed aan voldoen.
Zijn de nieuwe regels strenger?
Op veel terreinen wel. Burgers krijgen meer controle over de persoonsgegevens die instanties van hen bewaren. Bedrijven mogen nog enkel onder strikte voorwaarden persoonsgegevens verzamelen. Ze moeten bijvoorbeeld bewijzen dat de klant uitdrukkelijk toestemming gaf. Ook behoren ze zorgvuldig om te gaan met aan hen toevertrouwde data.
Wat betekent de AVG concreet voor mij?
Het nieuwe privacyregime biedt meer controle over de informatie die je met bedrijven en andere organisaties deelt. De AVG verhindert verder dat bedrijven je spammen met ongewenste reclame (digitale direct marketing) via e-mail, appjes of social media. Dat mag alleen als je er klant bent. Apps en websites mogen geen gegevens van kinderen onder de 16 jaar bewaren.
Lees ook: Dit moet jij als ondernemer nu aanpassen om te voldoen aan de AVG-wetgeving
Welke rechten krijg ik nu?
De AVG geeft recht op inzage in de gegevens die organisaties van je bezitten. Daarnaast mag je een bedrijf verzoeken om data te laten wijzigen - iets wat bij Google bijvoorbeeld al langer mogelijk is - of om minder persoonsgegevens te verwerken. De nieuwe privacywet introduceert daarnaast twee geheel nieuwe rechten. Burgers mogen voortaan eisen dat een bedrijf hun persoonsgegevens wist. Bijvoorbeeld omdat ze hun eerdere toestemming tot gebruik herroepen. Dit heet 'het recht om vergeten te worden'.
Nieuw is het 'recht op dataportabiliteit'. Hierbij mag je een bedrijf vragen persoonlijke informatie over te dragen aan een andere organisatie. Handig als je switcht naar een andere leverancier. Onder dataportabiliteit vallen ook titels van gekochte e-books of de liedjes die via een streamingdienst als Spotify zijn beluisterd.
Moeten bedrijven aan zo'n verzoek voldoen?
Organisaties kunnen onder bepaalde omstandigheden weigeren. Ze moeten in elk geval binnen een maand reageren. Bij complexe verzoeken bedraagt de termijn drie maanden.
Aan welke verplichtingen dienen bedrijven en instanties te voldoen?
Ze moeten data zorgvuldig bewaren en aantoonbaar moderne, veilige technologie daarvoor gebruiken. Extra hoge eisen stelt de AVG aan 'bijzondere persoonsgegevens': medische gegevens, creditcardinfo, paspoortnummers, gegevens over ras, politieke, religieuze of seksuele voorkeur. Deze moeten bijvoorbeeld in een aparte database worden gezet. Of organisaties moeten medewerkers met toegang een geheimhoudingsverklaring laten tekenen. Voor 'gewone persoonsgegevens' - naam, adres, mobiel nummer, inloggegevens, IP-nummer, bankrekening of klantnummer - gelden iets lagere standaarden.
Lees ook: In 7 stappen klaar voor de AVG
Wat als het toch misgaat en persoonsgegevens op straat belanden?
Dan moet dit binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens. De AVG kent namelijk een 'meldplicht datalekken'. Een datalek doet zich onder andere voor als gegevens door hackers worden buitgemaakt, maar ook bij verlies van een USB-stick met belangrijke data of bij diefstal van laptops. Een onbenulligere oorzaak kan ook, bijvoorbeeld als een e-mail met adressen per ongeluk naar de verkeerde personen wordt gestuurd.
Wie is binnen bedrijven en organisaties verantwoordelijk voor de privacy?
Alle organisaties die veelvuldig met persoonlijke gegevens werken, dienen een privacymanager - een 'functionaris voor de gegevensverwerking' - aan te stellen. Die checkt continu of aan de AVG wordt voldaan. Onder de verplichting vallen onder andere de Belastingdienst, ziekenhuizen, de NS, banken en verzekeraars. Maar ook onderwijsinstellingen, goede doelen, aanbieders van mobiele telefonie, internetproviders, marktonderzoekers of zoekmachines die persoonsgegevens verwerken om gericht advertenties te kunnen tonen.
Lees ook: Zes vragen en antwoorden over de AVG
Wat als mijn werkgever of mijn energieleverancier privacyregels overtreedt?
Dan kun je een klacht indienen via de website van de Autoriteit Persoonsgegevens. De waakhond zegt dergelijke meldingen uiterst serieus te nemen. ,,Ook onder de huidige regels konden burgers al schriftelijk of telefonisch meldingen doen", zegt een woordvoerster. ,,Regelmatig vormden dergelijke tips aanleiding voor actie en soms zelfs voor een onderzoek."
Geldt de AVG ook voor de overheid?
Overheidsinstanties als de Belastingdienst, Sociale Verzekeringsbank of andere (semi)publieke instanties moeten zich evengoed aan de nieuwe regels houden. Bij nieuwe wetgeving dienen kabinet en ministeries voortaan de privacygevolgen voor burgers in kaart te brengen. Zoals bij bouwprojecten een 'milieueffectrapportage' verplicht is, behoort een zogenaamde privacy impact assessment te worden opgesteld. In goed Nederlands: een 'gegevensbeschermingseffectbeoordeling.'
Zijn politie en justitie uitgezonderd?
Omdat de politie de openbare veiligheid bewaakt, geldt hier inderdaad een exceptie. Bij het speuren naar strafbare feiten is de 'Richtlijn Gegevensbescherming politie en justitie' van toepassing. Voor niet-opsporingstaken, zoals de verwerking van personeelsgegevens, geldt de AVG wél.
Lees ook: Hoge boetes als maatregel tot handhaving AVG
Wie controleert naleving van de AVG?
Elke EU-lidstaat is onder de AVG verplicht een onafhankelijke toezichthouder op te richten. Veel landen kennen zo'n waakhond al. In Nederland is de Autoriteit Persoonsgegevens (AP) verantwoordelijk.
Wat als bedrijven of organisaties zich niet aan de AVG houden?
Dan riskeren ze een boete die kan oplopen tot 20 miljoen euro of 4 procent van hun wereldwijde jaaromzet. Bij relatief lichte vergrijpen bedraagt de maximumgeldstraf 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.
Dat de Autoriteit Persoonsgegevens de komende maand al massaal boetes gaat uitdelen, lijkt overigens onwaarschijnlijk. De waakhond mist de mankracht om tienduizenden bedrijven en organisaties te controleren. Adviesbureau Andersson Elffers Felix heeft berekend dat het aantal werknemers minstens verdubbeld moet worden, wil de AP de nieuwe regels effectief kunnen handhaven.
