Door Sander van Voorst

Nieuwsredacteur

De AVG komt eraan

Wat kun je er precies mee?

Wat is er nieuw voor burgers?

Omdat nieuwe dingen het leukst zijn, kijken we hier eerst naar de belangrijkste vernieuwingen die de AVG met zich meebrengt voor burgers. Hiervoor hebben we al even aandacht besteed aan de verwerkingsgrond van toestemming, waarvan we hier de verschillen met de nieuwe versie kort bespreken. Je zult in de toekomst vaak om toestemming gevraagd worden, dus is het goed te weten wat je van die vraag mag verwachten.

Toestemming

Onder de huidige wet luidt de definitie:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt

De AVG hanteert deze bewoording:

elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt

Wat meteen opvalt, is de vermelding van een 'ondubbelzinnige actieve handeling' in de AVG. De verordening is zelf vrij duidelijk op dit punt en daarom vermelden we hier nog een andere zin: "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." Je kunt zien dat deze zin voortborduurt op de actieve handeling, wat dan weer concreet betekent dat van tevoren aangekruiste hokjes niet meer mogen. Een andere eis is dat als elektronisch om toestemming wordt gevraagd, dit kort en duidelijk moet zijn en niet storend mag zijn voor het gebruik van de dienst. Het is de vraag hoe dat laatste uiteindelijk wordt geïmplementeerd en wat de gangbare manier wordt, maar een cookiemuur 2.0 rolt er hopelijk niet uit.

Verder mag een organisatie niet in één keer toestemming voor van alles en nog wat vragen. Als een bedrijf bijvoorbeeld jouw gegevens wil gebruiken voor het verbeteren van zijn machinelearningalgoritmes en voor marketingdoeleinden, moet het dus twee keer om toestemming vragen, omdat dit verschillende verwerkingsdoelen zijn. Bij alle toestemmingsverzoeken moet het bovendien duidelijk aangeven wat het doel is, wat de identiteit van het bedrijf is, welke gegevens het verzamelt en dat je het recht hebt om je toestemming in te trekken. Dat proces mag niet ingewikkelder zijn dan het geven van toestemming. Ten slotte moet toestemming vrij gegeven zijn, wat bijvoorbeeld van belang is in machtsverhoudingen, zoals tussen werkgever en werknemer. De AVG zelf noemt specifiek het voorbeeld van een overheidsinstantie. De verlening van een dienst mag ook niet afhankelijk worden gesteld van het verlenen van toestemming, voor zover die niet nodig is voor de dienstverlening.

De AVG bevat ook een hele rits rechten waarvan we met z’n allen gebruik kunnen maken. Die zijn niet allemaal nieuw, maar komen voor een groot deel al voor in de wet waarmee we het nu nog doen. In de eerste plaats is er het recht op 'dataportabiliteit'.

Portabiliteit

Dit recht maakt het kort gezegd mogelijk om je gegevens bij een organisatie op te vragen in een door machines leesbaar formaat, bijvoorbeeld om naar een andere dienst te verhuizen en je gegevens daarnaartoe mee te nemen. Als je nu denkt: 'hadden we dit recht niet ook al onder de Wbp?' dan zit je ernaast, maar niet helemaal. Onder de huidige wet was er al een recht op inzage, maar dat was minder uitgebreid en stelde andere eisen. Volgens de Artikel 29-werkgroep waren mensen bijvoorbeeld gebonden aan het formaat dat de verwerker van de gegevens koos. De Nederlandse wet zei dan ook alleen dat de gegevens begrijpelijk moesten zijn.

Daar is nu een aantal eisen bijgekomen. Zo moeten de gegevens die je opvraagt, niet alleen 'machineleesbaar' worden aangeleverd, maar moet dat formaat ook 'gestructureerd, gangbaar, en interoperabel' zijn. Hoewel niet expliciet in de wet genoemd, kun je daarbij denken aan csv, xml of json volgens de WP29. Die merkt op dat je na het ontvangen van de gegevens zelf verantwoordelijk bent voor de beveiliging ervan, maar dat de verwerker je nog wel kan wijzen op encryptietools en soortgelijke maatregelen. Bovendien moet je de gegevens meteen naar een andere partij kunnen laten doorsturen, voor zover dit technisch mogelijk is.

Je kunt niet in alle gevallen jouw informatie opvragen, dat kan alleen als die op basis van jouw toestemming is verkregen of wordt verwerkt als gevolg van een gesloten overeenkomst. Bovendien moeten de gegevens geautomatiseerd worden verwerkt, dus je kunt geen papieren dossiers opvragen. Sommige bedrijven hebben een functie ontwikkeld waarmee je eenvoudig bij je eigen gegevens kunt. Zo kent Google al enige tijd een zogenaamde take-outfunctie en biedt Facebook dezelfde mogelijkheid. Ook Apple kondigde onlangs een dergelijke functie aan.

Recht op 'vergetelheid'

Onder de nieuwe rechten is een ander recht dat je bekend zou kunnen voorkomen, voor zover 'right to be forgotten' je iets zegt. Het wordt in de AVG ook wel aangeduid als het recht op gegevenswissing en houdt in dat je een organisatie mag vragen jouw persoonsgegevens te wissen. Die verplichting geldt ook voor back-ups, voor zover dat mogelijk is. Een uitzondering zouden bijvoorbeeld tapes zijn. Het nieuwe recht lijkt een beetje op de variant die je onder de huidige wetgeving al hebt om gegevens te wijzigen of te laten verwijderen. Het gaat alleen verder dan dat, omdat het nieuwe recht niet beperkt is tot bepaalde categorieën gegevens.

Ook het nieuwe recht is niet zonder beperkingen en is alleen van toepassing in een aantal situaties. Dat kan onder meer als jouw gegevens niet langer nodig zijn voor het doel waarvoor ze in eerste instantie zijn verzameld. Bijvoorbeeld als je je hebt aangemeld voor een evenement dat inmiddels heeft plaatsgevonden. Daarnaast kan het zo zijn dat een organisatie je gegevens verwerkt op basis van jouw toestemming. Trek je die in en is er geen andere basis voor de organisatie om de gegevens te verwerken, dan kan dat ook een reden zijn om jouw data te verwijderen. Daarnaast is verwijdering onder meer aan de orde als je bezwaar maakt of als de gegevens onrechtmatig zijn verwerkt.

Volgens de wetgever ziet dit recht vooral toe op de verwijdering van gegevens die je hebt afgestaan toen je voor de wet een kind was. Bijvoorbeeld als jouw gegevens op internet zijn beland toen je je niet bewust was van de daarmee verbonden risico's. Er zijn bovendien situaties waarin een verzoek tot verwijdering niet gehonoreerd hoeft te worden, bijvoorbeeld als jouw recht op privacy het onderspit delft tegenover de vrijheid van meningsuiting. Dit recht kan je bekend voorkomen, omdat iets soortgelijks voortvloeit uit een uitspraak van het Europese Hof van Justitie uit 2014. Die gaat over het verwijderen van links uit zoekresultaten, in het geval van de onderliggende zaak ging het om Google Spanje, als mensen van mening zijn dat de informatie niet langer relevant of correct is. Dit heeft nu in deze vorm zijn weg naar de AVG gevonden.

Lees meer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee