Inleiding
Sinds 2012 in de maak, in 2016 gereed en vanaf 25 mei van kracht: de algemene verordening gegevensbescherming heeft lang op zich laten wachten, maar over iets minder dan een week is het zover. "Eindelijk", zullen sommigen denken. Voor anderen mag de AVG nog wel enkele jaren worden uitgesteld. Hoe je er ook over denkt, het is belangrijk te weten wat voor veranderingen deze Europese wetgeving met zich meebrengt, behalve dat je een hoop mail over nieuwe voorwaarden ontvangt en je ineens voor van alles je toestemming moet geven. Daarom gaan we het hebben over de belangrijkste onderdelen van de AVG; wat kun je er precies mee als burger en wat betekent de wet voor organisaties? Het is de bedoeling dat je na het lezen van ons overzicht beslagen ten ijs komt en je rechten kunt laten gelden terwijl je op de hoogte bent van de plichten van bedrijven.
/i/2001987719.jpeg?f=imagenormal)
De AVG, gdpr, privacyverordening of hoe je hem ook wilt noemen, is bedoeld om de privacywetgeving van alle Europese lidstaten zo goed mogelijk gelijk te trekken. Hij vervangt in Nederland de huidige Wet bescherming persoonsgegevens, die is gebaseerd op een Europese richtlijn uit de jaren negentig. Er zitten naast veel ongewijzigde onderdelen ook nieuwe elementen in, bijvoorbeeld het recht om je gegevens mee te nemen naar een andere dienstverlener, of de in sommige gevallen torenhoge boetes die toezichthouders kunnen opleggen. Ook deze laten we de revue passeren.
Er is nog veel onduidelijk over de nieuwe regels, wat zich manifesteert in de vraag 'of jij al AVG-ready bent'. We zien grote techbedrijven, wellicht usual suspects voor toezichthouders, zich opmaken voor de komende veranderingen. Hetzelfde geldt voor kleinere organisaties. In de aanloop naar 25 mei is er veel gebeurd op het gebied van privacy, denk aan de gebeurtenissen rond Cambridge Analytica, waardoor Facebook in het middelpunt van de aandacht is komen te staan. Het is de vraag in hoeverre het met de AVG mogelijk zal zijn een vuist te maken tegen grote databedrijven en een stukje controle over onze gegevens terug te krijgen. Het worden ongetwijfeld spannende tijden voor de bescherming van de persoonlijke levenssfeer: een van onze grondrechten.
Wat je moet weten
Voordat we beginnen
De AVG is belangrijke wetgeving op het gebied van privacy, dus voordat we haar helemaal gaan uitpluizen, is het handig dat je op de hoogte bent van een aantal zaken die het eenvoudiger maken om alles in de juiste context te plaatsen. We zullen proberen dat proces zo aangenaam en interessant mogelijk te maken. Het gaat vooral om bepaalde begrippen en concepten.
De verordening is van toepassing op de verwerking van persoonsgegevens. Die zin bevat meteen al twee van de belangrijkste concepten. Wat je moet weten is dat het begrip 'persoonsgegevens' heel breed is. Officieel gaat het om gegevens over 'geïdentificeerde of identificeerbare personen'. Het is bovendien mogelijk om personen direct of indirect te identificeren. Bij directe identificatie kun je denken aan een naam. Aan de hand daarvan is het eenvoudig iemand te identificeren. Bij indirecte identificatie gaat het erom of het mogelijk is een persoon te identificeren aan de hand van combinaties van unieke eigenschappen binnen een bepaalde groep. Dan gaat het om het herleiden van gegevens tot een bepaald persoon.
Voorbeelden van persoonsgegevens uit de AVG zijn 'een identificatienummer, locatiegegevens, een online identificator, of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van een persoon'. Er zijn ook bijzondere persoonsgegevens, bijvoorbeeld over ras, politieke opvattingen en gezondheid. Die mogen niet verwerkt worden, tenzij er een geldige reden is. In de AVG zijn ook genetische en biometrische gegevens als bijzonder aangemerkt. Een uitzondering voor biometrische gegevens is bijvoorbeeld dat ze wel voor beveiligings- en authenticatiedoeleinden verwerkt mogen worden.
Ten slotte zijn gegevens van overleden personen geen persoonsgegevens. Hetzelfde geldt voor geanonimiseerde data. Gegevens onder een pseudoniem blijven echter wel persoonsgegevens, omdat die vaak alsnog tot een persoon zijn te herleiden met behulp van andere gegevens. Denk aan het toekennen van nieuwe namen aan personen, waarbij de koppeling wordt bijgehouden in een afzonderlijke tabel.
Verwerken
Je zag het begrip 'verwerken' hiervoor al langskomen en dat zal in de loop van dit stuk nog veel vaker gebeuren. Ook dit begrip is heel breed. Er vallen handelingen onder met betrekking tot persoonsgegevens, zoals het verzamelen, opslaan en raadplegen ervan. Maar bijvoorbeeld ook het gebruiken, combineren en wissen van data wordt gezien als verwerkingshandeling. Andere begrippen zijn 'verantwoordelijke', 'verwerker' en 'betrokkene'. Onder dat laatste begrip, in het Engels aangeduid als data subject, vallen de personen van wie de persoonsgegevens zijn, bijvoorbeeld de gebruikers van een dienst. Die dienst, neem Google, is dan de verantwoordelijke. Die bepaalt voor welk doel en op welke manier gegevens mogen worden verwerkt. Een verantwoordelijke kan ook een verwerker aanwijzen, die de verwerking van gegevens op zich neemt, bijvoorbeeld een aparte dienstverlener voor het opslaan van data.
/i/2001987721.jpeg?f=imagenormal)
Als je je tot hier hebt weten door te vechten, ben je al een heel eind. Nu moet je alleen nog weten dat het verwerken van persoonsgegevens alleen mag op basis van zes verschillende juridische gronden, oftewel redenen. Die worden allemaal genoemd in de AVG. De bekendste daarvan is toestemming, waarop we verderop nader ingaan. Er zijn echter ook andere mogelijkheden voor organisaties om jouw gegevens te mogen gebruiken, ook al geef je daarvoor geen toestemming. Die staan hieronder.
Reden |
Voorbeeld |
Uitvoering van een overeenkomst |
Een webshop moet jouw adres verwerken om je een pakket toe te sturen. |
Nakomen van een wettelijke verplichting |
Een bedrijf levert jouw informatie aan de politie, omdat het daartoe wettelijk is verplicht. |
Vitale belangen |
Iemand raadpleegt jouw medische gegevens op je telefoon omdat je betrokken bent bij een ernstig ongeluk. |
Algemeen belang of uitvoering van openbaar gezag |
Een gemeente houdt toezicht met camera's op basis van een wettelijk geregelde taak. |
De verwerking is noodzakelijk voor een gerechtvaardigd belang dat zwaarder weegt dan dat van de betrokkene |
Een bedrijf houdt een personeelsadministratie bij of stuurt marketingmateriaal aan zijn klanten. |
Toestemming |
Zie volgend hoofdstuk |
Wat is er nieuw voor burgers?
Omdat nieuwe dingen het leukst zijn, kijken we hier eerst naar de belangrijkste vernieuwingen die de AVG met zich meebrengt voor burgers. Hiervoor hebben we al even aandacht besteed aan de verwerkingsgrond van toestemming, waarvan we hier de verschillen met de nieuwe versie kort bespreken. Je zult in de toekomst vaak om toestemming gevraagd worden, dus is het goed te weten wat je van die vraag mag verwachten.
Toestemming
Onder de huidige wet luidt de definitie:
elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt
De AVG hanteert deze bewoording:
elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt
Wat meteen opvalt, is de vermelding van een 'ondubbelzinnige actieve handeling' in de AVG. De verordening is zelf vrij duidelijk op dit punt en daarom vermelden we hier nog een andere zin: "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden."
Je kunt zien dat deze zin voortborduurt op de actieve handeling, wat dan weer concreet betekent dat van tevoren aangekruiste hokjes niet meer mogen. Een andere eis is dat als elektronisch om toestemming wordt gevraagd, dit kort en duidelijk moet zijn en niet storend mag zijn voor het gebruik van de dienst. Het is de vraag hoe dat laatste uiteindelijk wordt geïmplementeerd en wat de gangbare manier wordt, maar een cookiemuur 2.0 rolt er hopelijk niet uit.
Verder mag een organisatie niet in één keer toestemming voor van alles en nog wat vragen. Als een bedrijf bijvoorbeeld jouw gegevens wil gebruiken voor het verbeteren van zijn machinelearningalgoritmes en voor marketingdoeleinden, moet het dus twee keer om toestemming vragen, omdat dit verschillende verwerkingsdoelen zijn. Bij alle toestemmingsverzoeken moet het bovendien duidelijk aangeven wat het doel is, wat de identiteit van het bedrijf is, welke gegevens het verzamelt en dat je het recht hebt om je toestemming in te trekken. Dat proces mag niet ingewikkelder zijn dan het geven van toestemming. Ten slotte moet toestemming vrij gegeven zijn, wat bijvoorbeeld van belang is in machtsverhoudingen, zoals tussen werkgever en werknemer. De AVG zelf noemt specifiek het voorbeeld van een overheidsinstantie. De verlening van een dienst mag ook niet afhankelijk worden gesteld van het verlenen van toestemming, voor zover die niet nodig is voor de dienstverlening.
De AVG bevat ook een hele rits rechten waarvan we met z’n allen gebruik kunnen maken. Die zijn niet allemaal nieuw, maar komen voor een groot deel al voor in de wet waarmee we het nu nog doen. In de eerste plaats is er het recht op 'dataportabiliteit'.
Portabiliteit
Dit recht maakt het kort gezegd mogelijk om je gegevens bij een organisatie op te vragen in een door machines leesbaar formaat, bijvoorbeeld om naar een andere dienst te verhuizen en je gegevens daarnaartoe mee te nemen. Als je nu denkt: 'hadden we dit recht niet ook al onder de Wbp?' dan zit je ernaast, maar niet helemaal. Onder de huidige wet was er al een recht op inzage, maar dat was minder uitgebreid en stelde andere eisen. Volgens de Artikel 29-werkgroep waren mensen bijvoorbeeld gebonden aan het formaat dat de verwerker van de gegevens koos. De Nederlandse wet zei dan ook alleen dat de gegevens begrijpelijk moesten zijn.
Daar is nu een aantal eisen bijgekomen. Zo moeten de gegevens die je opvraagt, niet alleen 'machineleesbaar' worden aangeleverd, maar moet dat formaat ook 'gestructureerd, gangbaar, en interoperabel' zijn. Hoewel niet expliciet in de wet genoemd, kun je daarbij denken aan csv, xml of json volgens de WP29. Die merkt op dat je na het ontvangen van de gegevens zelf verantwoordelijk bent voor de beveiliging ervan, maar dat de verwerker je nog wel kan wijzen op encryptietools en soortgelijke maatregelen. Bovendien moet je de gegevens meteen naar een andere partij kunnen laten doorsturen, voor zover dit technisch mogelijk is.
Je kunt niet in alle gevallen jouw informatie opvragen, dat kan alleen als die op basis van jouw toestemming is verkregen of wordt verwerkt als gevolg van een gesloten overeenkomst. Bovendien moeten de gegevens geautomatiseerd worden verwerkt, dus je kunt geen papieren dossiers opvragen. Sommige bedrijven hebben een functie ontwikkeld waarmee je eenvoudig bij je eigen gegevens kunt. Zo kent Google al enige tijd een zogenaamde take-outfunctie en biedt Facebook dezelfde mogelijkheid. Ook Apple kondigde onlangs een dergelijke functie aan.
Recht op 'vergetelheid'
Onder de nieuwe rechten is een ander recht dat je bekend zou kunnen voorkomen, voor zover 'right to be forgotten' je iets zegt. Het wordt in de AVG ook wel aangeduid als het recht op gegevenswissing en houdt in dat je een organisatie mag vragen jouw persoonsgegevens te wissen. Die verplichting geldt ook voor back-ups, voor zover dat mogelijk is. Een uitzondering zouden bijvoorbeeld tapes zijn. Het nieuwe recht lijkt een beetje op de variant die je onder de huidige wetgeving al hebt om gegevens te wijzigen of te laten verwijderen. Het gaat alleen verder dan dat, omdat het nieuwe recht niet beperkt is tot bepaalde categorieën gegevens.
/i/2001987723.jpeg?f=imagenormal)
Ook het nieuwe recht is niet zonder beperkingen en is alleen van toepassing in een aantal situaties. Dat kan onder meer als jouw gegevens niet langer nodig zijn voor het doel waarvoor ze in eerste instantie zijn verzameld. Bijvoorbeeld als je je hebt aangemeld voor een evenement dat inmiddels heeft plaatsgevonden. Daarnaast kan het zo zijn dat een organisatie je gegevens verwerkt op basis van jouw toestemming. Trek je die in en is er geen andere basis voor de organisatie om de gegevens te verwerken, dan kan dat ook een reden zijn om jouw data te verwijderen. Daarnaast is verwijdering onder meer aan de orde als je bezwaar maakt of als de gegevens onrechtmatig zijn verwerkt.
Volgens de wetgever ziet dit recht vooral toe op de verwijdering van gegevens die je hebt afgestaan toen je voor de wet een kind was. Bijvoorbeeld als jouw gegevens op internet zijn beland toen je je niet bewust was van de daarmee verbonden risico's. Er zijn bovendien situaties waarin een verzoek tot verwijdering niet gehonoreerd hoeft te worden, bijvoorbeeld als jouw recht op privacy het onderspit delft tegenover de vrijheid van meningsuiting. Dit recht kan je bekend voorkomen, omdat iets soortgelijks voortvloeit uit een uitspraak van het Europese Hof van Justitie uit 2014. Die gaat over het verwijderen van links uit zoekresultaten, in het geval van de onderliggende zaak ging het om Google Spanje, als mensen van mening zijn dat de informatie niet langer relevant of correct is. Dit heeft nu in deze vorm zijn weg naar de AVG gevonden.
Andere rechten
Rechten op inzage en rectificatie
De rechten op inzage en rectificatie zijn niet nieuw en bestonden ook al onder de Wbp. Stel dat je je gegevens alleen wilt inzien en niet meteen wilt verhuizen. Dan kun je van deze mogelijkheid gebruikmaken. De AVG noemt het voorbeeld dat je het kunt gebruiken om informatie in jouw medisch dossier in te zien. De organisatie die jouw gegevens verwerkt, moet bovendien desgevraagd de nodige informatie verstrekken. Dat is bijvoorbeeld nuttig als je erachter wilt komen voor welk doel je gegevens worden verwerkt, aan wie ze zijn doorgegeven, hoe lang ze worden opgeslagen, wat de bron van de gegevens is en of er geautomatiseerde beslissingen op basis van de data worden genomen. Bij dat laatste kun je ook denken aan profiling.
Je krijgt vervolgens een kopie van de gegevens. Dat kan ook digitaal, als je het verzoek op die manier hebt ingediend, bijvoorbeeld door een mail te sturen en niet specifiek om papieren kopieën te vragen. Als je dan toch je gegevens inziet, kun je fouten meteen laten herstellen. Dat volgt uit het recht op rectificatie, dat apart wordt genoemd in de AVG, maar verder niet veel om het lijf heeft. Ontbreekt er bijvoorbeeld informatie, dan kun je die aanvullen. Als de verwerkende organisatie jouw informatie heeft doorgegeven aan andere partijen, dan moet ze die ook op de hoogte stellen van de wijziging van de gegevens, voor zover mogelijk.
Recht op beperking van de verwerking
Van deze mogelijkheid zul je waarschijnlijk niet vaak gebruikmaken, maar in bepaalde gevallen kan het vragen om beperking van de verwerking van data handig zijn. Dit houdt in dat je een organisatie kunt vragen om jouw data tijdelijk niet te verwerken. Volgens de AVG betekent dit dat jouw data dan ook als zodanig gelabeld moet worden en niet mag worden verwerkt of gewijzigd. Uit een uitleg van de Britse privacytoezichthouder is op te maken dat het er in feite op neerkomt dat alleen de opslag van jouw gegevens nog is toegestaan en verder niets. Voor alle andere activiteiten is toestemming of een andere reden vereist.
/i/2001987725.jpeg?f=imagenormal)
Afbeelding van Josh Hallett, CC BY 2.0
Je kunt maar in een handjevol gevallen van deze optie gebruikmaken, bijvoorbeeld als je hebt aangegeven dat jouw gegevens niet juist zijn. Dan heeft de organisatie even de tijd om die gegevens aan te passen en kun je vragen in die periode geen verdere verwerking uit te voeren. Een ander voorbeeld is dat je vindt dat de verwerking onrechtmatig is en dat je in plaats van het wissen van de data vraagt om een beperking. Het recht lijkt dus vooral bedoeld als een tijdelijke maatregel in afwachting van verdere stappen.
Recht op bezwaar
Ook als je bezwaar maakt, moet de desbetreffende organisatie de verwerking beperken, voor zover nog niet duidelijk is of je gelijk hebt. Dat brengt ons op het recht op bezwaar, wat erop neerkomt dat je een organisatie kunt vragen te stoppen met het verwerken van jouw data vanwege jouw specifieke situatie. Dit is echter alleen mogelijk als de verwerking plaatsvindt op basis van een van twee van de in totaal zes beschikbare gronden, namelijk een algemeen of een gerechtvaardigd belang. Daaruit volgt dat je bijvoorbeeld niet eerst toestemming kunt geven en dan bezwaar kunt maken; je kunt dan beter gewoon je toestemming intrekken.
Het wordt interessanter in het geval van direct marketing. Stuurt een bedrijf jou online of offline marketingmateriaal, dan kun je altijd gratis bezwaar maken.Stuurt een bedrijf jou online of offline marketingmateriaal,
dan kun je altijd gratis bezwaar maken
Dat bedrijf mag dan jouw gegevens hier niet meer voor gebruiken. Hierbij geldt niet de hierboven genoemde eis dat je specifiek voor jou geldende redenen moet noemen. De AVG voegt daaraan toe dat het recht van bezwaar ook van toepassing is als organisaties jouw gegevens gebruiken voor profiling. In het zojuist genoemde voorbeeld gaat het om profiling voor marketingdoeleinden. Organisaties moeten je bovendien informeren over de mogelijkheid om bezwaar te maken.
Recht bij geautomatiseerde besluiten en profiling
Het kan voorkomen dat bedrijven beslissingen over jou nemen waar geen mens aan te pas komt. Bijvoorbeeld bij het online invullen van een sollicitatieformulier. Op basis van de inhoud is het mogelijk dat je automatisch wordt afgewezen als je niet aan een bepaalde eis voldoet. Daarnaast kunnen bedrijven profielen van jou opstellen op basis van jouw data. De AVG bevat een definitie van dit begrip, waaruit volgt dat het gaat om evaluatie van gegevens 'met de bedoeling om beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen'. Het kan dus ook voorkomen dat een organisatie een besluit over jou neemt op basis van een dergelijk profiel, dat niet altijd de waarheid hoeft weer te geven.
Volgens de huidige en de nieuwe wet mag dat in bepaalde gevallen, maar heb je het recht om de organisatie een nieuw besluit te laten nemen waar wel een mens bij is betrokken. Het moet dan om een besluit van een organisatie gaan dat juridische gevolgen heeft of dat jou 'in aanmerkelijke mate treft'. Dat laatste is een nogal rekbaar begrip, waardoor niet helemaal duidelijk is wanneer hiervan sprake is.
Geautomatiseerde besluiten over personen zijn toegestaan als ze nodig zijn om bijvoorbeeld de verplichtingen uit een overeenkomst uit te voeren. Een andere mogelijkheid is dat je toestemming hebt gegeven dat jouw gegevens zo worden verwerkt. In die gevallen moet de organisatie in kwestie wel maatregelen nemen om jouw rechten te beschermen en om je de kans te geven een dergelijk geautomatiseerd besluit aan te vechten. Als je meer wilt weten over de onderliggende logica van de geautomatiseerde besluiten, kun je bovendien het recht op inzage gebruiken om hierover informatie op te vragen bij de desbetreffende organisatie. Ten slotte bestaat de verplichting jou over de aanwezigheid en de gevolgen van profiling te informeren.
Nota bene
Het is voor de volledigheid belangrijk te vermelden dat de hier genoemde rechten niet zonder beperkingen zijn. Ook die worden allemaal genoemd in de AVG, maar het zijn er te veel om hier op te sommen. Het komt erop neer dat zwaarder wegende belangen de rechten kunnen inperken. Denk aan dingen als nationale en openbare veiligheid, en het voorkomen en opsporen van misdrijven.
Een ander belangrijk punt is dat je weinig aan deze rechten hebt als je ze niet kunt gebruiken. Daarom vereist de AVG dat organisaties het gebruik eenvoudig maken, bijvoorbeeld door procedures voor het inzien of wissen van gegevens in het leven te roepen. Verzoeken moeten bovendien langs elektronische weg mogelijk zijn en organisaties moeten er binnen een maand op reageren.
De andere kant
Als het goed is, ben je nu op de hoogte van jouw rechten en wat je mag verwachten als een organisatie om toestemming vraagt om jouw gegevens te verwerken. De AVG introduceert echter ook verplichtingen voor organisaties, waarvan we hier de belangrijkste behandelen. In dit deel kom je er bijvoorbeeld achter waarom sommige bedrijven opzien tegen de komst van de nieuwe regels.
Voor wie gelden de regels eigenlijk?
Soms lijkt het erop dat de regels uit de AVG alleen gelden voor grote bedrijven. Die indruk klopt niet, omdat de regels uit de verordening evengoed gelden voor de overheid, kleine organisaties en zzp’ers. Het enige verschil is dat sommige verplichtingen niet gelden, maar daarover later meer. De verordening is van toepassing zodra er persoonsgegevens worden verwerkt, met uitzondering van een persoon die dat doet bij het uitvoeren van een persoonlijke of huishoudelijke activiteit. Het bijhouden van een persoonlijk adressenboekje valt er bijvoorbeeld niet onder. Verder zijn er bijvoorbeeld uitzonderingen voor strafrechtelijke gegevens en de verwerking voor wetenschappelijke, journalistieke en artistieke doelen.
Het is ook goed om te beseffen dat de AVG niet voor de hele wereld geldt, maar grof gezegd voor organisaties die in de EU zijn gevestigd en hier gegevens verwerken of organisaties die buiten de EU zijn gevestigd en bijvoorbeeld diensten in de EU aanbieden en daarbij gebruikersdata verwerken. Denk hierbij onder meer aan Amerikaanse techbedrijven.
Beginselen
Zodra je dus persoonsgegevens verwerkt, moet je je aan bepaalde uitgangspunten houden. Dat was overigens ook al zo onder de Wbp. Die uitgangspunten komen terug in de AVG en laten goed zien wat het beleid is voor de omgang met jouw data.
Beginsel / uitgangspunt |
Toelichting |
Verwerking moet rechtmatig, behoorlijk en transparant zijn |
Dit betekent dat de verwerking plaatsvindt op de eerdergenoemde gronden en dat het voor personen duidelijk is voor welk doel en op welke manier dit gebeurt. |
Doelbinding |
Verwerking mag alleen plaatsvinden voor een duidelijk omschreven doel. Een organisatie kan dus niet de gegevens naderhand voor een heel ander doel gaan gebruiken, maar wel voor een doel dat verenigbaar is met het oorspronkelijke oogmerk. |
Minimale gegevensverwerking |
Als een organisatie persoonsgegevens verwerkt voor een bepaald doel, mogen daar niet meer of minder gegevens voor gebruikt worden dan nodig. Ook moeten de gegevens geschikt zijn voor dat doel. |
Juistheid |
Een organisatie moet actuele en juiste gegevens verwerken. Daarom heb je ook de mogelijkheid om jouw gegevens in te zien en bijvoorbeeld te verbeteren. |
Opslagbeperking |
Gegevens mogen niet eindeloos opgeslagen worden. Dat houdt in dat een organisatie ze moet verwijderen als ze niet meer nodig zijn voor het verzameldoel. |
Integriteit en vertrouwelijkheid |
Organisaties moeten gegevens van ‘passende’ beveiliging voorzien en ze beschermen tegen vernietiging of verlies, bijvoorbeeld door een datalek. Je kunt hierbij denken aan encryptie- en hashingmaatregelen, maar ook het regelen van een back-upbeleid. Het begrip ‘passend’ is vrij vaag, maar houdt verband met het risico dat de verwerking van de gegevens met zich meebrengt, net als met de stand van de techniek en de kosten. Een wachtwoordendatabase met md5 hashen zit er dus, gelet op de stand van de techniek, niet meer in. |
Maar wat is er dan nieuw?
Om de nieuwe regels niet vrijblijvend te laten en meer druk op organisaties uit te oefenen om er daadwerkelijk iets mee te doen, is er met de AVG een zogenaamde verantwoordingsplicht bijgekomen. Die houdt in dat organisaties ervoor verantwoordelijk zijn om bovenstaande beginselen daadwerkelijk in de praktijk te brengen en, belangrijker nog, moeten kunnen aantonen dat ze dit doen. Een toezichthouder zoals de Autoriteit Persoonsgegevens kan een organisatie vragen om dit aan te tonen.
Er zijn verschillende uitvloeisels van deze verantwoordingsplicht. Een daarvan is dat organisaties rekening moeten houden met privacy by design and by default. Dat wil zeggen dat ze van tevoren moeten nadenken hoe ze de principes in de praktijk gaan brengen via 'technische en organisatorische maatregelen'.
/i/2001987727.jpeg?f=imagenormal)
Daar komt bij dat organisaties met meer dan 250 werknemers een register moeten bijhouden waarin ze zogenaamde verwerkingsactiviteiten bijhouden. Naast informatie over zichzelf moeten ze daarin bijvoorbeeld opnemen wat voor gegevens ze voor welk doel verwerken, met wie deze gegevens worden gedeeld en welke beveiligingsmaatregelen ze hebben genomen. Ook is het verplicht om aan te kunnen tonen dat daadwerkelijk om toestemming is gevraagd, mocht een bedrijf deze grond gebruiken voor zijn verwerking. In de praktijk komt het er waarschijnlijk op neer dat ook veel organisaties met minder dan 250 werknemers een register moeten bijhouden, omdat ze pas van die verplichting zijn vrijgesteld als ze bijvoorbeeld 'incidenteel' persoonsgegevens verwerken. Als een bedrijf echter regelmatig gegevens van klanten verwerkt, zal dit al snel niet meer als incidenteel gelden.
Het zou goed kunnen dat de termen Functionaris Gegevensbescherming en Data Protection Impact Assessment iets zeggen. Kort gezegd komt het erop neer dat organisaties in bepaalde gevallen een dergelijke 'fg' moeten aanstellen, die er intern op toeziet dat de regels uit de AVG worden nageleefd en die als aanspreekpunt voor toezichthouders fungeert. Overheden en andere publieke organisaties zijn verplicht een persoon met deze functie in dienst te hebben na 25 mei. Een zogenaamd dpia is onder meer nodig als een organisatie een verwerking van persoonsgegevens wil uitvoeren die risico's met zich meebrengt. Het is een middel om ze ertoe te verplichten van tevoren de privacygevolgen in te schatten. Als daar uitkomt dat de verwerking een hoog risico met zich meebrengt, moet de organisatie de toezichthouder om advies vragen.
Waar ook veel over te doen is geweest, zijn de boetes die toezichthouders kunnen opleggen. Een boete kan oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitkomtEen boete kan oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet
. In het geval van Google-moederbedrijf Alphabet komt vier procent van de omzet van vorig jaar neer op ongeveer 4,4 miljard dollar. Daarbij moeten toezichthouders wel rekening houden met de omstandigheden van de overtreding. Een zodanig hoge boete zal dus lang niet in alle gevallen van toepassing zijn. Over grote bedrijven moeten we nog vermelden dat als ze gegevens in verschillende EU-landen verwerken, één toezichthouder het aanspreekpunt vormt. Deze kan samenwerken met toezichthouders in andere lidstaten.
Hoe nu verder?
Het idee achter de nieuwe regels is natuurlijk dat organisaties ze daadwerkelijk gaan naleven. Doen ze dat niet, dan zijn er de toezichthouders die achter ze aankomen en met boetes staan te zwaaien. Althans, dat is de theorie; in de praktijk gaat het misschien anders uitpakken, omdat toezichthouders in verschillende lidstaten al hebben aangegeven onvoldoende middelen te hebben om hun taken onder de AVG uit te voeren. De Nederlandse Autoriteit Persoonsgegevens heeft bijvoorbeeld aangegeven dat haar budget wellicht onvoldoende is. Daardoor zou de situatie 'nijpend' kunnen worden. De AP heeft eerder al laten doorschemeren dat een van haar eerste acties zal zijn om gemeenten te vragen of ze een Functionaris Gegevensbescherming in dienst hebben, waartoe gemeenten verplicht zijn.
Over de berichten dat nationale toezichthouders zeggen niet klaar te zijn om hun taken uit te voeren, zegt David Korteweg van de Nederlandse burgerrechtenorganisatie Bits of Freedom tegen Tweakers: "De waarde van de regels valt of staat bij handhaving. Daarom moeten de toezichthouders natuurlijk wel de middelen krijgen om hun taak uit te voeren." Er zijn nog wel andere mogelijkheden voor burgers als de toezichthouders niet uit zichzelf actie ondernemen waar rechten in het geding komen. "Je kunt bijvoorbeeld een klacht indienen. Dan is een toezichthouder verplicht om daar inhoudelijk op te reageren. Dit geldt dan ook weer als besluit, waartegen je vervolgens weer bezwaar kunt aantekenen bij de rechter als je het er niet mee eens bent. Daarnaast kun je een handhavingsverzoek indienen, wat overigens nu ook al mogelijk is."
/i/2001987729.jpeg?f=imagenormal)
Afbeelding van Joe Gratz, CC0 1.0
Een andere mogelijkheid is om zelf naar de rechter te stappen. "Dat kan met een verzoekschriftprocedure waardoor je geen advocaat nodig hebt", aldus Korteweg. Een laatste optie is dat je iemand anders machtigt om namens jou te procederen of een klacht in te dienen. "In Nederland is het ook mogelijk voor een stichting of vereniging om dit uit eigen beweging te doen. Lidstaten kunnen dit zelf regelen, dus dat is niet overal mogelijk", voegt hij daaraan toe. Op de vraag of Bits of Freedom zelf van plan is om hiervan gebruik te maken, antwoordt hij dat de organisatie in ieder geval van plan is om 'actiever strategisch te procederen' nadat de AVG is ingegaan.
Het is dus ook mogelijk om collectief een schadevergoeding te eisen van een partij die de regels van de AVG overtreedt. Een van de organisaties die van die mogelijkheid gebruik gaat maken, is de ngo die door de Oostenrijker Max Schrems is opgezet en de naam noyb draagt. Hij sprak daarover eerder in een interview met Tweakers. Over het begrip schadevergoeding zegt de AVG dat het begrip 'schade' ruim moet worden uitgelegd.
Misvattingen en merkbare effecten
Gevraagd naar misvattingen over de AVG zegt Korteweg: "Het is belangrijk om je te realiseren dat heel veel van de rechten en verplichtingen er nu ook al zijn. In de kern zijn die dus in veel gevallen hetzelfde gebleven." Hij wijst erop dat er ook nieuwe elementen zijn, zoals de verplichting tot verantwoording en tot het aanstellen van een Functionaris Gegevensbescherming. Maar de claim van veel bedrijven dat de nieuwe regels onwerkbaar zijn en dat het daardoor niet te doen is, berust op een misvatting." Een ander belangrijk punt in de verordening zou de transparantievereiste bij toestemming zijn. Zo kunnen bedrijven niet langer toestemming vragen door je grote lappen tekst voor te schotelen.
"De claim van veel bedrijven dat de nieuwe regels onwerkbaar zijn en dat het daardoor niet te doen is, berust op een misvatting"
Tweakers vroeg ook naar effecten van de AVG die nu al merkbaar zijn. Korteweg bespreekt het fenomeen dat mensen nu veel mails van bedrijven krijgen waarin hun gevraagd wordt opnieuw toestemming te geven, bijvoorbeeld om een nieuwsbrief te blijven ontvangen. "Vaak zijn dat partijen waarbij je ooit iets hebt gekocht en die je toen mails zijn gaan sturen zonder je vooraf de mogelijkheid te bieden om dergelijke mails niet te ontvangen. Het interessante is dat dit zonder de AVG ook al niet mocht onder de antispamregels van de Telecommunicatiewet. Daaruit is op te maken dat die partijen zich niet aan de geldende regels hielden of dat ze naar aanleiding van de komst van de AVG zijn gaan inventariseren wat ze eigenlijk precies doen." Korteweg verwees naar dit fenomeen naar aanleiding van de vraag welke invloed van de AVG nu al merkbaar is. Hij voegt daaraan toe: "Wat ook kan meespelen, is dat de hoge boetes het effect hebben dat er nu ook bewustzijn is op directieniveau."
Tot slot
Hoe de regels van de AVG precies in de praktijk uitpakken, daar zullen we met z'n allen getuige van worden. De nieuwe rechten voor burgers en plichten voor organisaties moeten vorm krijgen en in de loop van de tijd zal het een stuk duidelijker worden hoe de regels te interpreteren zijn. Daar dragen bijvoorbeeld besluiten van toezichthouders en uitspraken van rechters, die zich ongetwijfeld zullen buigen over privacyconflicten, aan bij. Misschien kijken we over een paar jaar terug en was er weinig reden voor paniek, of komen we erachter dat er te weinig is gedaan. Hoe dan ook wordt het een interessante tijd voor privacy.
Wil je meer weten over privacy en ben je ook geïnteresseerd in security? Op zaterdag 26 mei houdt Tweakers de Meet-up XL over Security & Privacy in Hilversum. Op de desbetreffende pagina vind je meer informatie over het evenement.