De nieuwe Algemene Verordening Gegevensbescherming (AVG) vervangt vanaf 25 mei 2018 de verouderde Wet bescherming persoonsgegevens (Wbp). De nieuwe wet moet onze privacy beter beschermen. Je krijgt meer controle over de informatie die bedrijven en instellingen van je hebben. Deze bescherming geldt voor alle landen van de Europese Unie (EU). De verordening staat in het buitenland beter bekend onder de Engelse naam General Data Protection Regulation (GDPR).
Welk probleem wordt daarmee opgelost?
Vooral op internet was er veel gedoe over de ‘oude’ wettelijke regels. Stel: je bezoekt als Nederlander een Amerikaanse website. Welke wetgeving geldt dan? De nieuwe privacywet regelt dat ook bedrijven van buiten de EU zich aan de nieuwe AVG moeten houden als ze gegevens van Europese burgers verwerken. Zelfs als die buitenlandse bedrijven geen Europees kantoor hebben, moeten ze in kaart brengen welke gegevens ze over personen verwerken. Ook moeten ze de beveiliging van de data waarborgen. De wet geldt dus ook voor bedrijven als Google en Facebook. Bij overtreding kunnen ze een boete krijgen van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet.
Wat ga je merken van de nieuwe wet?
Je krijgt er twee nieuwe rechten bij. Ten eerste het ‘Recht op vergetelheid’. Dit is het recht om gegevens te laten wissen. Bijvoorbeeld als er online oude (inmiddels achterhaalde) gegevens over je tevoorschijn komen. Dan kun je verantwoordelijken vragen die gegevens te verwijderen. Dit geldt ook voor de (achterhaalde) resultaten die zoekmachines als Google soms geven. Daarnaast krijg je het ‘Recht op data-portabiliteit’. Dit is het recht om gegevens over te dragen. Dit kan bijvoorbeeld handig zijn wanneer je van abonnement wisselt. Stel dat je een muziek-abonnement hebt bij Spotify en je stapt over naar een andere aanbieder. Dan kun je Spotify om je gegevens vragen (zoals afspeel-lijsten), zodat je met niet al te veel moeite verder kunt bij de andere aanbieder. Bij het recht op data-portabiliteit zijn organisaties verplicht de gegevens aan je toe te sturen. En op zo’n manier dat je ze kunt hergebruiken. Let wel: het gaat om gegevens waarvoor je online toestemming hebt gegeven (zoals gebruikersnaam, adres en/of leeftijd), of om gegevens die je hebt verstrekt om een overeenkomst uit te voeren. Het gaat niet om papieren dossiers. Het recht op data-portabiliteit is niet van toepassing op de gegevens die een organisatie zelf heeft vergaard (door data-analyse bijvoorbeeld), zoals je profiel.
Zijn dit al mijn rechten?
Gelukkig niet. De rechten die je al hebt – en houdt – zijn: het recht op inzage, het recht op rectificatie, het recht op beperking van de verwerking, het recht bij geautomatiseerde besluitvorming en profilering, en het recht op bezwaar. Je leest in de volgende stukjes wat dit zoal inhoudt.
Wat houdt het ‘recht op inzage’ in?
Dit is het recht om je eigen persoonsgegevens in te zien. Een bedrijf dat persoonsgegevens van je heeft, mag wel zelf bepalen hoe ze die gegevens ter inzage geven. Bijvoorbeeld door de gegevens niet toe te sturen, maar je te vragen om ze op hun kantoor te komen inzien. Verder moet de organisatie je vertellen waarom ze bepaalde gegevens verwerkt. Bovendien moet de organisatie duidelijk kunnen maken welke persoonsgegevens verzameld worden en waarom ze dat doet. Mocht de organisatie gegevens van een ander bedrijf hebben ontvangen, of zelf gegevens hebben doorgestuurd, dan moet ze dat ook laten weten.
En het ‘recht op rectificatie’?
Dit geeft je het recht om je eigen persoonsgegevens aan te passen
of aan te vullen. Heeft een bedrijf onjuiste
gegevens over je? Dan moeten die gecorrigeerd en/of aangevuld worden als je daarom vraagt.
Wat is het ‘recht op beperking van de verwerking’?
Dit draait om het recht om het gebruik van persoonsgegevens in te perken. Misschien ontdek je dat een organisatie onjuiste gegevens over je heeft. In dat geval mag de organisatie deze gegevens niet langer gebruiken. Het is ook mogelijk dat je bepaalde gegevens later nog wilt gebruiken; dan mag de organisatie die gegevens niet verwijderen. Ook is het mogelijk dat je bepaalde gegevens in een rechtszaak wilt gebruiken, terwijl een organisatie de gegevens eigenlijk niet meer nodig heeft en wil verwijderen. Je hebt dan het recht om aan de organisatie te vragen de gegevens zolang te bewaren. Je kunt een organisatie ook verzoeken om te stoppen met het verwerken van gegevens. De organisatie moet dan zwaar wegende redenen aanvoeren om dat verzoek niet te honoreren. In het geval van direct marketing moet een organisatie altijd je verzoek inwilligen.
Wat is het ‘recht bij geautomatiseerde besluitvorming en profilering’?
Het komt voor dat een bedrijf of instelling een besluit over je neemt op basis van automatisch verwerkte gegevens. ‘De computer’ neemt dan een besluit over je. Bijvoorbeeld bij een kredietaanvraag of bij een online sollicitatie. Je kunt dit achterhalen door een inzageverzoek bij de betreffende organisatie in te dienen. Ben je het niet eens met de beslissing? Dan kun je een beroep doen op artikel 22 van de nieuwe privacywet AVG. Op grond daarvan moet de organisatie een nieuw besluit nemen waarbij een mens (en dus geen computer) je gegevens beoordeelt.
En wat is het ‘recht op bezwaar’?
Daarmee kun je bezwaar maken tegen gegevensverwerking.
Hoe snel moet een bedrijf reageren op mijn verzoek om overdracht van gegevens?
Binnen een maand. Als je verzoek om gegevensoverdracht ingewilligd wordt, mag het bedrijf er geen vergoeding voor vragen. Je moet de gegevens ontvangen in een bestandsformaat dat een computer redelijkerwijs snel kan uitlezen. Ook moeten de gegevens herbruikbaar zijn, zodat je ze makkelijk bij een andere dienst kunt aanbieden. Ook van een weigering hoor je binnen een maand bericht te krijgen. Als een organisatie zegt dat ze niet aan een verzoek kan voldoen, moet men je informeren over de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens, of over de mogelijkheid om beroep in te stellen bij een rechter.
Wordt er nog meer gedaan om mijn privacy te beschermen?
Ja. Veel organisaties hadden al een privacyverklaring op hun website staan, maar de praktijk wees uit dat maar heel weinig mensen daar notie van namen. De verklaring was te lang of te ingewikkeld – of allebei. Vanaf 25 mei 2018 hebben alle bedrijven en instellingen die persoonsgegevens verwerken de wette-lijke plicht om een privacyverklaring te verstrekken, zelfs als ze geen website hebben. De informatie over de gegevensverwerking moet in begrijpelijke taal zijn opgesteld en zo kort mogelijk zijn. In de privacyverklaring moet het volgende staan: contact-gegevens van de organisatie, de redenen waarom persoonsgegevens worden verwerkt, of de organisatie gegevens doorgeeft aan derden, de bewaartermijn van gegevens, je rechten, waarom je eventueel verplicht bent om gegevens aan de organisatie te geven, wat de gevolgen zijn als je de gegevens niet geeft, of de organisatie automatische besluiten neemt, en of de organisatie gegevens krijgt van andere partijen.
5 tips om je privacy te beschermen