De nieuwe privacy wet, hoe zit dat?

Twee jaar geleden (in mei 2016 is de nieuwe Algemene Verordening Gegevensbescherming in werking getreden. Vanaf 25 mei 2018 moeten alle bedrijven zich aan deze nieuwe privacywet houden.  

Wat houdt de nieuwe privacy wet in?

Consumenten krijgen meer rechten als het gaat om controle over hun persoonsgegevens. Bedrijven krijgen meer plichten m.b.t. privacy van consumenten. Door de AVG moet de privacy statement worden uitgebreid. Dit geldt voor zowel bedrijven als verenigingen en stichtingen die persoonsgegevens verzamelen. Een aantal punten zijn belang voor de Privacy Statement:

• Hoe lang worden gegevens bewaard?
• Consumenten moeten actief gewezen worden op het recht om gegevens in te zien, aan te passen, aan te vullen of te laten verwijderen.
• Duidelijk maken dat het recht bestaat om bezwaar te maken.
• Duidelijk maken wat je met de gegevens doet.
• Wijzen op het feit dat een toestemming elk moment weer ingetrokken kan worden.
• Het moet duidelijk zijn dat je een klacht kan indienen bij de Autoriteit Persoonsgegevens
• Of gegevens worden doorgegeven, al dan niet naar landen buiten de EU
• Waar komen de gegevens vandaan?

“Consumenten hebben recht op inzage, uitleg en transparantie”, zegt onderzoeksjournalist Brenno de Winter. “Soms kan het zijn dat de inzage wordt geweigerd als er andere belangen zijn. Je hoort wel antwoord te krijgen.” 

Wat zijn persoonsgegevens eigenlijk?

‘Persoonsgegevens’ is een heel ruim begrip. Niet alleen je woonadres, postcode, woonplaats, mobiele nummer, ip-adres of e-mailadres zijn persoonsgegevens, maar ook zaken zoals je aankopen die geregistreerd worden, je belgedrag, hoe vaak je bij een sportvereniging komt en locatiegegevens (zoals in een smartphone). 

Het recht op dataportabiliteit

Met de invoering van de AVG is het recht op dataportabiliteit nieuw.

Wat is het recht op dataportabiliteit? 

Het recht op dataportabiliteit is nieuw met de invoering van de AVG. Stel je wil wisselen van bank, dan kan je de bank vragen om jouw gegevens door te geven aan de nieuwe bank. Hetzelfde geldt als je overstapt naar een andere zorgverzekeraar. Alle gegevens die bij je huidige zorgverzekeraar bekend zijn kun je naar de nieuwe zorgverzekeraar laten sturen, zodat je daar niet het hele aanmeldproces opnieuw hoeft te doorlopen. 

Consumenten krijgen meer controle over hun eigen persoonsgegevens met deze regel. Daarnaast wordt het makkelijker om over te stappen naar een andere aanbieder van een dienst.

Kan je je persoonlijke gegevens laten verwijderen?

Ja, ook dat is een nieuw recht voor consumenten. Je kan een organisatie verzoeken om je persoonsgegevens te laten verwijderen. Dat kan niet overal, zoals bij de Belastingdienst. Stel je bent lid van een sportvereniging en je schrijft je uit, dan kan je de vereniging verzoeken al jouw gegevens te verwijderen. Heeft een bedrijf jouw gegevens ook doorgegeven aan een zusterorganisatie? Dan kan je het bedrijf verzoeken om ook daar jouw gegevens te laten verwijderen.

Hoe zit het met nieuwsbrieven?

Veel bedrijven of organisaties zijn nu consumenten aan het mailen die regelmatig een nieuwsbrief hebben ontvangen om hen te wijzen op de nieuwe privacyregels, of wijzen bezoekers hierop op hun website. Een nieuwsbrief mag onder de AVG gewoon worden verstuurd, zolang je jezelf maar aangemeld hebt voor die nieuwsbrief. Dat is al jaren zo geregeld in de Telecomwet.

Mag je nog een foto op sociale media plaatsen?

Het kan zijn dat je foto’s hebt gemaakt waar mensen op staan. Als je die op je Facebookpagina of website wil plaatsen, dan heb je daar toestemming voor nodig van de geportretteerde. Foto’s met portretten van mensen zijn immers een persoonsgegeven. Je moet een grondslag hebben, zoals toestemming, om de foto te publiceren op je Facebookpagina of Instagramprofiel. Sta je dus op een druk kruispunt in Amsterdam en staan er tientallen mensen op je foto? Dan moet je hun gezichten blurren als je de foto wil publiceren. Dit is echter het geval als je je foto’s beroepsmatig publiceert. 

Stel dat je alleen maar fotografeert als hobby en je publiceert die foto’s niet op tientallen websites, dan wordt dat gezien als ‘persoonlijk of huishoudelijk’ doel. Je valt dan niet onder de AVG. Zet je een hele portfolio online? Dan val je wel weer binnen de AVG. Je kan dus zonder problemen een foto met je vriend of vriendin op je Facebook-, Twitter- of Instagramaccount zetten.

Kinderen op sociale media: toestemming nodig?

Voor kinderen onder de zestien die op sociaalnetwerksites zoals Facebook of Instagram zitten, geldt dat ouders hiervoor toestemming moeten geven. Op Instagram wordt er gevraagd om een geboortedatum. Outlook (van Microsoft) verzoekt een kopie van een identiteitsbewijs of een creditcardbetaling om zo te verifiëren dat de ouders toestemming geven voor gebruik van het programma. Dat vindt De Winter “heel vreemd”, want “toestemming is niet de grondslag”. De Winter noemt het “doorslaan” aangezien er reeds een overeenkomst is.

Bedrijf houdt zich niet aan de wet: wat kan je doen?

Consumenten die denken dat een organisatie zich niet aan de AVG privacywet houdt, kunnen een klacht indienen bij het bedrijf, maar kunnen zich ook wenden tot de Autoriteit Persoonsgegevens of de rechter. 

Hoe hoog zijn de boetes?

Wie zich niet aan de AVG houdt loopt het risico een boete te krijgen. De hoogte van de boete is afhankelijk van de zwaarte van de overtreding en kan oplopen tot twintig miljoen euro (of vier procent van de omzet). “Voor bedrijven is een boete echter niet de grootste bedreiging”, aldus De Winter. “Handhavende maatregelen wel, zoals een berisping of waarschuwing. Ook consumenten kunnen in theorie beboet worden, maar dan moet je het wel heel bont maken.” 

Wat is GDPR? En wie moet zich ermee bezighouden?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Het staat ook wel bekend onder de Engelse afkorting GDPR (General Data Protection Regulation). Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie. De AVG / GDPR zorgt o.a. voor de versterking en uitbreiding van onze privacyrechten, strenger toezicht op het verwerken van persoonsgegevens én voor meer verantwoordelijkheden bij organisaties – van ZZP’ers tot aan grote bedrijven, verenigingen en stichtingen. Zorg dat je voldoet aan deze wetgeving en voorkom een fikse boete.

Wat zijn de (nieuwe) rechten van de betrokkenen?

Toestemming intrekken

Bedrijven en organisaties moeten dus kunnen bewijzen dat ze (geldige) toestemming hebben gekregen voor het verwerken van persoonsgegevens. Maar deze toestemming is niet voor in de eeuwigheid: mensen moeten die toestemming kunnen intrekken. En wel op net zo’n makkelijke manier als ze hun toestemming hebben gegeven.

Recht op vergetelheid

In de situatie voor 25 mei 2018 hebben mensen het recht om hun persoonsgegevens te laten verwijderen. Dit recht wordt uitgebreid: mensen kunnen straks ook eisen dat je deze verwijdering doorgeeft aan alle andere organisaties die de persoonsgegevens van je hebben ontvangen.

Recht op dataportabiliteit

Mensen hebben ook het recht dat je als organisatie hun persoonsgegevens in een standaardformaat aanlevert, of hun persoonsgegevens zelfs doorgeeft aan een leverancier die dezelfde diensten biedt. Autoriteit Persoonsgegevens geeft hierbij het voorbeeld van een sociaal netwerk, waarbij klanten kunnen eisen dat hun gegevens bij uitschrijving worden doorgestuurd naar een concurrerend netwerk.

Recht op inzage

Mensen mogen organisaties vragen of zij persoonsgegevens van hen hebben vastgelegd, en zo ja: welke. Als organisatie moet je dan laten weten om welke gegevens het zijn, waar ze voor gebruikt worden, welke derde partij de gegevens (eventueel) nog meer heeft, en wat de herkomst is van deze gegevens.

Recht om te wijzigen

Mensen hebben het recht om de gegevens die je van hen verwerkt, te wijzigen en aan te vullen. Ook hebben ze recht om jou minder gegevens te laten verwerken.

De 6 grondslagen waarop je persoonsgegevens mag verzamelen

• 
Toestemming van de gebruiker

• 
Vitale belangen

• 
Wettelijke verplichting

• 
Noodzakelijk voor de uitvoering van een overeenkomst

• 
Algemeen belang

• 
Gerechtvaardigd belang

Wat moet je als bedrijf documenteren?

Je moet een paar dingen verplicht doen:

• Een register van verwerkingsactiviteiten bijhouden (minder dan 250 werknemers? Dan wel als je risicovolle gegevens verwerkt, niet incidenteel gegevens verwerkt, of bijzondere persoonsgegevens verwerkt)
• Verwerk je gegevens met een hoog privacyrisico? Dan moet je een data protection impact assessment (DPIA) uitvoeren. In het Nederlands ook wel een gegevensbeschermingseffectbeoordeling – een ‘instrument’ om van tevoren de privacyrisico’s van deze gegevensverwerking inzichtelijk te maken (en actie te ondernemen)
• Een overzicht van datalekken die zijn ontstaan.
• Je moet kunnen aantonen dat iemand toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
• Is het onduidelijk of je een functionaris voor gegevensbescherming moet aanstellen, dan moet je kunnen onderbouwen waarom je er wel of niet voor hebt gekozen. Deze functionaris houdt toezicht op de toepassing en de naleving van de GDPR/AVG. Overheidsinstanties en publieke organisaties zijn sowieso verplicht om een FG aan te stellen. Andere organisaties: als je op grote schaal individuen volgt en of op grote schaal bijzondere persoonsgegevens verwerkt, en dit tot je kernactiviteit behoort. 

Autoriteit Persoonsgegevens noemt ook de volgende maatregelen, waarmee je extra kunt aantonen dat je aan de eisen voldoet: je aansluiten bij een gedragscode, specifieke certificaten halen, een ICT-beveiligingsbeleid voeren of in een jaarverslag of privacy-jaarverslag verantwoording afleggen over de verwerking van persoonsgegevens.

Let ook op je cookiemelding!

Wat zegt de AVG over cookies? Dat is een beetje dubbel. Eigenlijk vallen alleen cookies die persoonsgegevens verwerken onder de privacywet. Maar het punt is dat je als website-eigenaar nooit weet welke cookies van derde partijen gegevens verwerken. Daarom vallen je cookies in de praktijk dus wel degelijk onder de GDPR.

Het belangrijkste uitgangspunt is dat je als bezoeker per apart verwerkingsdoel toestemming moeten kunnen geven. Zoals je in onze eigen cookiebanner kunt zien, hebben we 4 verwerkingsdoelen:

• Noodzakelijke cookies (daar hoeven bezoekers geen toestemming voor te geven)
• Voorkeuren-cookies (voor taal- en cookievoorkeuren)
• Statistieken-cookies
• Marketing-cookies

Een cookiewall is dus niet GDPR-compliant, omdat je dan niet per type cookie kunt aangeven of je deze wel of niet accepteert. En als website plaats je al snel meer cookies dan je verwacht. Embed je weleens video’s van YouTube? Cookies. Opvallend voorbeeld uit een Frankwatching-artikel: een embed van New York Times plaatste al 62 cookies. Met onze cookiemanager van CookieInfo hebben we ook meteen een cookiescanner, die elke avond de hele site (13.000 pagina’s!) inventariseert. Zo blijven we scherp!