GDPR/AVG vanaf nu in werking: de 4 belangrijkste veranderingen

Door: Raymon Mens - 14 reacties

Het is je vast opgevallen door alle notificaties en e-mails van bedrijven die plots hun privacybeleid updaten. De nieuwe Europese privacyverordening, ook wel GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) is vanaf nu in werking en dat zorgt voor een aantal grote veranderingen.

Er zijn veel vragen over de nieuwe wet. Daarom hebben wij de meest gestelde vragen en belangrijkste veranderingen op een rij gezet.

Lang artikel… Liever luisteren?

In onderstaande podcast praat OMT-hoofdredacteur Raymon je samen met co-host Maarten binnen 8 minuten bij over GDPR.

Waarom een nieuwe wet?

Het was al langer de wens om de privacywetgeving van alle Europese lidstaten te harmoniseren. Tot nu toe had iedere lidstaat zijn eigen wet en dat was lastig voor bedrijven die in heel Europa zaken willen doen. De AVG vervangt in Nederland de Wet bescherming persoonsgegevens, die stamt uit de jaren negentig. De nieuwe wet is een verordening en treedt dus direct in werking. Het is geen Europese richtlijn die landen kunnen omzetten in eigen wetgeving. Iedereen dezelfde spelregels.

Het tweede doel van de nieuwe wet is het beter beschermen van de privacy van Europese internetgebruikers. In de GDPR staat een boel dat we al kennen uit de oude, Nederlandse wet, maar er zijn ook een boel nieuwigheden die je privacy beter moeten beschermen. De wet is van toepassing op alle bedrijven en instanties die persoonsgegevens verwerken.

Geldt de GDPR alleen voor bedrijven binnen de EU?

Nee. Bedrijven die buiten de EU zijn gevestigd, maar persoonsgegevens van Europese burgers verwerken, zijn ook aan de wet gebonden.

Wat wil ‘persoonsgegevens verwerken’ zeggen?

De privacywet richt zich op het verwerken van persoonsgegevens. Maar wat wil dat eigenlijk zeggen? Persoonsgegevens zijn gegevens die kunnen worden gebruikt om iemand direct of indirect te identificeren. Je naam is een voorbeeld van een gegeven dat gebruikt kan worden om je direct te identificeren. Soms kan een combinatie van gegevens gebruikt worden om je indirect te identificeren. Denk daarbij aan je IP-adres, locatiegegevens, uiterlijke kenmerken en sociale kenmerken.

Een verwerker is iemand of een organisatie die persoonsgegevens opslaat, gebruikt, combineert of op een andere manier inzet. Google, Apple en Facebook zijn verwerker van persoonsgegevens. Maar je lokale sportclub met een ledenadministratie is dat ook.

Tennisballen foto
Klik/tap voor groter.

Gegevens verwerken mag niet zonder toestemming

Om jouw gegevens te mogen verwerken, dient een organisatie in de meeste gevallen toestemming te vragen. Toch zijn er een aantal uitzonderingen, bijvoorbeeld voor overheden. Je hoeft niet aan de gemeente te melden dat je geen bezwaar hebt tegen het verschijnen op beveiligingscamera’s, want dit dient het algemeen belang. Een bedrijf dat wettelijke verplicht is om je gegevens aan de belastingdienst door te geven, hoeft hier ook geen toestemming voor te vragen. Denk ook aan een simpele overeenkomst: een webshop heeft je naam en adres nodig om een pakketje af te leveren.

In alle andere gevallen, dien je toestemming te geven voor verwerking van je persoonsgegevens. Daar komen ook de eerste vernieuwingen in de wet om de hoek kijken.

Wat zijn de belangrijkste vernieuwingen voor burgers?

De GDPR geeft je als burger een aantal nieuwe rechten. Die zorgen ervoor dat je meer controle over je privacy en gegevens hebt, maar ook dat bedrijven je niet met één klik toestemming kunnen laten geven voor het gebruik van al je persoonlijke data. Dit zijn de vier belangrijkste nieuwigheden:

1. Actieve handeling verrichten voor toestemming

Wil je een bedrijf toestemming geven voor het verwerken van je persoonsgegevens? Dan moet die toestemming bestaan uit een “ondubbelzinnige actieve handeling”. Dat wil zeggen dat stilzwijgende toestemming en het gebruik van vooraf aangekruiste hokjes op een pagina niet meer mag. Ook moet bij een internetdienst het vragen om toestemming niet onnodig lang zijn en mag het niet storend zijn voor het gebruik van de dienst.

Dit verplicht bedrijven overigens niet om je toegang tot een dienst te verschaffen als je niet akkoord gaat met de verwerking van persoonsgegevens. Een “slikken of stikken” optie zoals Instagram zijn gebruikers voorlegt, is binnen de wet.

Instagram AVG GDPR
Klik/tap voor groter.

2. Bulktoestemming is niet langer toegestaan

Het idee “Klik één keer op de akkoord-knop en we mogen alles met je gegevens doen” gaat ook niet langer op. Organisaties mogen je nu de AVG van toepassing is niet langer in één keer toestemming voor meerdere verwerkingsdoelen vragen. Stel een bedrijf wil je gegevens verwerken voor het verbeteren van zijn kunstmatige intelligentie en je ook een persoonlijke nieuwsbrief sturen, dan moet voor alle twee die doelen toestemming gevraagd worden. Het moet dan duidelijk zijn wie de partij is die om toestemming vraagt, wat het doel van de verwerking is en welke gegevens verzameld worden.

3. Dataportabiliteit

Je hebt volgens de Nederlandse privacywet altijd al het recht gehad om de gegevens die een organisatie verwerkt in te zien. Door GDPR gaat dit echter nog een stap verder. Je hebt nu recht op dataportabiliteit. Dat wil zeggen dat bedrijven je gegevens in een “gestructureerd, gangbaar en machineleesbaar formaat” aan moeten leveren. Denk aan een json-bestand, excelsheet of csv-file.

Veel bedrijven hebben om hieraan te voldoen een zogenaamde take-out-tool gemaakt. Die van Apple is sinds kort live. De AVG schrijft niet voor dat deze gegevens meteen beschikbaar gesteld moeten worden. Organisaties kunnen de tijd nemen om dit zorgvuldig te doen. Apple heeft bijvoorbeeld maximaal 7 dagen nodig.

4. Gegevenswissing

De laatste grote vernieuwing is het recht op vergetelheid. Je kon organisaties altijd al vragen om foutieve gegevens te wissen, maar nu gaat dat voor alle persoonsgegevens gelden. Je kunt organisaties vragen om al je persoonsgegevens te wissen. Dat moet je wel op een bepaalde grond doen. Bijvoorbeeld als de gegevens niet meer nodig zijn voor het doel waarvoor ze verzameld zijn. Denk bijvoorbeeld aan een tennistoernooi waaraan je mee hebt gedaan en dat is voorbij. Je kunt de organisatie dan vragen om de persoonsgegevens die je bij inschrijving hebt opgegeven te wissen. Een andere grond is dat je de toestemming voor het verwerken van gegevens intrekt. In zo’n geval moet de organisatie je persoonsgegevens meteen wissen.

Let op dat het gaat om het wissen van persoonsgegevens. Gegevens die niet als persoonsgegevens aangemerkt worden, hoeven niet gewist te worden. Ook zijn er soms zwaardere belangen die kunnen voorkomen dat je persoonsgegevens gewist worden. De wet maakt bijvoorbeeld een uitzondering voor journalistieke of literaire uitdrukkingsvormen. Maar denk ook aan het archief van de belastingdienst of politie.

AVG GDPR prullenbak
Klik/tap voor groter.

Waarom moet ik steeds opnieuw toestemming geven?

Een veelgehoorde ergernis is dat consumenten door de AVG wel bij honderd diensten opnieuw toestemming moeten geven om hun gegevens te verwerken. In principe is het opnieuw vragen van toestemming alleen nodig als een organisatie niet kan bewijzen dat je een “ondubbelzinnige actieve handeling” hebt verricht om de toestemming te geven. Ben je in het verleden op een mailinglijst gezet omdat een vinkje automatisch aan stond? Dan zal je opnieuw toestemming moeten geven. Heb je jezelf voor een nieuwsbrief aangemeld en die aanmelding bevestigd? Dan is de toestemming in orde. Veel organisaties zullen echter ook denken: better safe than sorry.

Geldt GDPR alleen voor grote bedrijven?

Nee, dit is een belangrijk misverstand. De nieuwe wet geldt niet alleen maar voor grote bedrijven zoals Facebook of Google, maar ook voor kleine bedrijven zoals eenmanszaken. Ook clubs, stichtingen en verenigingen moeten de wet naleven. Er zijn wel andere eisen aan grote bedrijven. Ieder bedrijf met 250 of meer werknemers, moet een GDPR-register bijhouden waarin ze de verwerkingsactiviteiten bijhouden. Daarin moet bijvoorbeeld staan welke gegevens met welk doel verwerkt worden en met wie die gedeeld worden. Ook moeten beveiligingsmaatregelen gedocumenteerd worden.

GDPR AVG kleine bedrijven
Klik/tap voor groter.

Wordt naleving van de AVG actief gecheckt?

Ja. In theorie dan. De autoriteit persoonsgegevens heeft nu de toestemming gekregen om actief te gaan controleren. In hoeverre dat ook gaat gebeuren, is de vraag. Wij verwachten een soortgelijke situatie als het rookverbod in de horeca. Wel controle, maar minimaal.

Wat als ik vermoed dat mijn data misbruikt wordt?

Schrijf allereerst de organisatie aan. Vraag zelf informatie, bijvoorbeeld hoe ze aan je gegevens komen. Ze zijn je verplicht om die informatie te geven, want het recht op informatie uit oude privacywet staat ook in de AVG. Je kunt ook de toestemming om gegevens te verwerken intrekken en je op het recht op vergetelheid (punt 4) beroepen.

Vermoed je dat het misbruik structureel is of krijg je geen antwoord? Dan kun je dit melden bij de autoriteit persoonsgegevens. Die zal beoordelen of je klacht gegrond is, de onderneming controleren en eventueel een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet. In geval van Apple kan dat maximaal 9,6 miljard dollar zijn. Kleine bedrijven die nog niet helemaal klaar zijn voor de AVG, hoeven zich niet al te veel zorgen te maken. Minister Dekker voor Rechtsbescherming heeft onlangs gezegd dat er in het begin schappelijk zal worden omgegaan met overtredingen van de nieuwe Europese AVG.

Reacties

14 reacties
  • Profielfoto
    madcat

    Ik wacht nog op de snellere OMT website

  • Profielfoto
    SvS

    Goed artikel, bedankt!

  • Profielfoto
    Swiftly

    Twitter is irritant,…..akkoord of verwijderen
    ……idioten
    ….wordt het toch verwijderen denk ik

  • Profielfoto
    bertik

    Hartelik dank voor dit overzicht. Het is heel nuttig en leerrijk.

  • Profielfoto
    html-junky

    Fijn artikel inderdaad

  • Profielfoto
    Melle

    Vooral het luisteren is fijn. In de zon – boterhamm eten en leren over de GPRD via mijn AirPods. Ideaal!

  • Profielfoto
    Hermanko

    ja, de OMT website laadt onwijs langzaam, sinds OMT in andere handen. is.

  • Profielfoto
    html-junky

    De app is dan wel weer snel

  • Profielfoto
    SvS

    Swiftly op 25 mei 2018 09:13
    Twitter is irritant,…..akkoord of verwijderen
    ……idioten
    ….wordt het toch verwijderen denk ik

    Zo zijn er wel meer, waar je niet om accepteren heen kunt.

     

  • Profielfoto
    farl4web

    Om maar even te mierenneuken… jullie website bewaard iets van 4 cookies zonder dat ik ervoor toestemming heb gegeven. ;P

  • Profielfoto
    Mike lardee

    Leuk artikel, maar zelf zijn jullie er nog niet klaar voor:
    Een account verwijderen staat niet op de site. En ook niet hoelang jullie gegevens bewaren. Geloof ik.

  • Profielfoto
    csteelooper

    Wordt naleving van de AVG actief gecheckt?

    Ja. In theorie dan. De autoriteit persoonsgegevens heeft nu de toestemming gekregen om actief te gaan controleren. In hoeverre dat ook gaat gebeuren, is de vraag. Wij verwachten een soortgelijke situatie als het rookverbod in de horeca. Wel controle, maar minimaal.

    Mja dat rookverbod is een farce hier in Nederland. Althans, de controle er op. Maar als ze dan een keer een uitbater pakken is-ie wel echt nat.
    Eerlijk gezegd zie ik het met de controle op GDPR niet eens zo ver komen, omdat de APG al heeft aangegeven “er onvoldoende capaciteit/middelen” voor te hebben. Dát is pas absurd. Om nog maar te zwijgen van het feit dat ongeveer 70% van de ministeries (en daarmee dus de nationale overheid) de GDPR-richtlijnen zélf niet nakomt… Nederland is zo ongeveer hekkensluiter op dit gebied…

  • Profielfoto
    ocramarco

    Zucht weer een website die zegt dat het een neiuwe wet is. Voor de duidelijkheid de wet bestaat al vanaf 2016 alleen gaat hij vanaf 25 mei toegepast wordrn en daarm beboet worden. Het is redelijk bizar dat mensen (en dan vooral bedrijven) net doen of het uit de lucht komt vallen maar dat is dus niet zo.

  • Profielfoto
    computer space

    Nee, OMT deugt nog van geen kant:

    Cookiewall is nu illegaal, je kunt niet weigeren
    Geen optie om data op te halen (ik wil graag mijn 10000 posts in XML, heerlijk om als WC papier af te laten drukken)
    Geen optie om account en al je posts te wissen
    Er zijn geen aangepaste voorwaarden aan gebruikers voorgelegd.