Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

De AVG komt eraan

Wat kun je er precies mee?

Wat is er nieuw voor burgers?

Omdat nieuwe dingen het leukst zijn, kijken we hier eerst naar de belangrijkste vernieuwingen die de AVG met zich meebrengt voor burgers. Hiervoor hebben we al even aandacht besteed aan de verwerkingsgrond van toestemming, waarvan we hier de verschillen met de nieuwe versie kort bespreken. Je zult in de toekomst vaak om toestemming gevraagd worden, dus is het goed te weten wat je van die vraag mag verwachten.

Toestemming

Onder de huidige wet luidt de definitie:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt

De AVG hanteert deze bewoording:

elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt

Wat meteen opvalt, is de vermelding van een 'ondubbelzinnige actieve handeling' in de AVG. De verordening is zelf vrij duidelijk op dit punt en daarom vermelden we hier nog een andere zin: "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." Je kunt zien dat deze zin voortborduurt op de actieve handeling, wat dan weer concreet betekent dat van tevoren aangekruiste hokjes niet meer mogen. Een andere eis is dat als elektronisch om toestemming wordt gevraagd, dit kort en duidelijk moet zijn en niet storend mag zijn voor het gebruik van de dienst. Het is de vraag hoe dat laatste uiteindelijk wordt geïmplementeerd en wat de gangbare manier wordt, maar een cookiemuur 2.0 rolt er hopelijk niet uit.

Verder mag een organisatie niet in één keer toestemming voor van alles en nog wat vragen. Als een bedrijf bijvoorbeeld jouw gegevens wil gebruiken voor het verbeteren van zijn machinelearningalgoritmes en voor marketingdoeleinden, moet het dus twee keer om toestemming vragen, omdat dit verschillende verwerkingsdoelen zijn. Bij alle toestemmingsverzoeken moet het bovendien duidelijk aangeven wat het doel is, wat de identiteit van het bedrijf is, welke gegevens het verzamelt en dat je het recht hebt om je toestemming in te trekken. Dat proces mag niet ingewikkelder zijn dan het geven van toestemming. Ten slotte moet toestemming vrij gegeven zijn, wat bijvoorbeeld van belang is in machtsverhoudingen, zoals tussen werkgever en werknemer. De AVG zelf noemt specifiek het voorbeeld van een overheidsinstantie. De verlening van een dienst mag ook niet afhankelijk worden gesteld van het verlenen van toestemming, voor zover die niet nodig is voor de dienstverlening.

De AVG bevat ook een hele rits rechten waarvan we met z’n allen gebruik kunnen maken. Die zijn niet allemaal nieuw, maar komen voor een groot deel al voor in de wet waarmee we het nu nog doen. In de eerste plaats is er het recht op 'dataportabiliteit'.

Portabiliteit

Dit recht maakt het kort gezegd mogelijk om je gegevens bij een organisatie op te vragen in een door machines leesbaar formaat, bijvoorbeeld om naar een andere dienst te verhuizen en je gegevens daarnaartoe mee te nemen. Als je nu denkt: 'hadden we dit recht niet ook al onder de Wbp?' dan zit je ernaast, maar niet helemaal. Onder de huidige wet was er al een recht op inzage, maar dat was minder uitgebreid en stelde andere eisen. Volgens de Artikel 29-werkgroep waren mensen bijvoorbeeld gebonden aan het formaat dat de verwerker van de gegevens koos. De Nederlandse wet zei dan ook alleen dat de gegevens begrijpelijk moesten zijn.

Daar is nu een aantal eisen bijgekomen. Zo moeten de gegevens die je opvraagt, niet alleen 'machineleesbaar' worden aangeleverd, maar moet dat formaat ook 'gestructureerd, gangbaar, en interoperabel' zijn. Hoewel niet expliciet in de wet genoemd, kun je daarbij denken aan csv, xml of json volgens de WP29. Die merkt op dat je na het ontvangen van de gegevens zelf verantwoordelijk bent voor de beveiliging ervan, maar dat de verwerker je nog wel kan wijzen op encryptietools en soortgelijke maatregelen. Bovendien moet je de gegevens meteen naar een andere partij kunnen laten doorsturen, voor zover dit technisch mogelijk is.

Je kunt niet in alle gevallen jouw informatie opvragen, dat kan alleen als die op basis van jouw toestemming is verkregen of wordt verwerkt als gevolg van een gesloten overeenkomst. Bovendien moeten de gegevens geautomatiseerd worden verwerkt, dus je kunt geen papieren dossiers opvragen. Sommige bedrijven hebben een functie ontwikkeld waarmee je eenvoudig bij je eigen gegevens kunt. Zo kent Google al enige tijd een zogenaamde take-outfunctie en biedt Facebook dezelfde mogelijkheid. Ook Apple kondigde onlangs een dergelijke functie aan.

Recht op 'vergetelheid'

Onder de nieuwe rechten is een ander recht dat je bekend zou kunnen voorkomen, voor zover 'right to be forgotten' je iets zegt. Het wordt in de AVG ook wel aangeduid als het recht op gegevenswissing en houdt in dat je een organisatie mag vragen jouw persoonsgegevens te wissen. Die verplichting geldt ook voor back-ups, voor zover dat mogelijk is. Een uitzondering zouden bijvoorbeeld tapes zijn. Het nieuwe recht lijkt een beetje op de variant die je onder de huidige wetgeving al hebt om gegevens te wijzigen of te laten verwijderen. Het gaat alleen verder dan dat, omdat het nieuwe recht niet beperkt is tot bepaalde categorieën gegevens.

Ook het nieuwe recht is niet zonder beperkingen en is alleen van toepassing in een aantal situaties. Dat kan onder meer als jouw gegevens niet langer nodig zijn voor het doel waarvoor ze in eerste instantie zijn verzameld. Bijvoorbeeld als je je hebt aangemeld voor een evenement dat inmiddels heeft plaatsgevonden. Daarnaast kan het zo zijn dat een organisatie je gegevens verwerkt op basis van jouw toestemming. Trek je die in en is er geen andere basis voor de organisatie om de gegevens te verwerken, dan kan dat ook een reden zijn om jouw data te verwijderen. Daarnaast is verwijdering onder meer aan de orde als je bezwaar maakt of als de gegevens onrechtmatig zijn verwerkt.

Volgens de wetgever ziet dit recht vooral toe op de verwijdering van gegevens die je hebt afgestaan toen je voor de wet een kind was. Bijvoorbeeld als jouw gegevens op internet zijn beland toen je je niet bewust was van de daarmee verbonden risico's. Er zijn bovendien situaties waarin een verzoek tot verwijdering niet gehonoreerd hoeft te worden, bijvoorbeeld als jouw recht op privacy het onderspit delft tegenover de vrijheid van meningsuiting. Dit recht kan je bekend voorkomen, omdat iets soortgelijks voortvloeit uit een uitspraak van het Europese Hof van Justitie uit 2014. Die gaat over het verwijderen van links uit zoekresultaten, in het geval van de onderliggende zaak ging het om Google Spanje, als mensen van mening zijn dat de informatie niet langer relevant of correct is. Dit heeft nu in deze vorm zijn weg naar de AVG gevonden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Lees meer


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True