Belangrijkste vragen AVG

Wat is er nou eigenlijk anders dan eerst?
Minder dan je denkt. De nieuwe regels lijken namelijk best wel op de huidige Wet bescherming persoonsgegevens uit 2000. Daarin staat bijvoorbeeld al dat consumenten het zogenoemde 'recht op inzage' hebben. Consumenten konden al bij een organisatie opvragen welke gegevens allemaal over hen zijn verzameld en waarom. Zij konden deze gegevens ook corrigeren indien nodig. Dit recht wordt onder meer uitgebreid met het 'recht op vergetelheid': de mogelijkheid om organisaties op te dragen gegevens te verwijderen. Bijvoorbeeld omdat je geen klant meer bent.

Ook was er al een variant op het register waarin organisaties moeten bijhouden welke persoonsgegevens ze bewaren. Bedrijven moesten dat vaak al aan de toezichthouder melden als ze persoonsgegevens verwerkten.

Deze vorige privacywet was echter onbekend en werd zelfs op grote schaal genegeerd. „Omdat de toezichthouder tot 2016 geen boetes kon uitdelen, hadden de meeste organisaties een achteloze houding", zegt ICT-jurist Arnoud Engelfriet van adviesbureau ICTRecht. „De toezichthouder hield zich vooral bezig met grote zaken. Bij kleine organisaties waren privacyregels daarom nooit zo'n issue." Veel bedrijven begonnen dus met een achterstand.
 
Moet ik nu iets anders gaan doen?
Consumenten hoeven over het algemeen niks anders te doen. Ze krijgen er alleen nieuwe rechten bij. Voor ondernemers is het een ander verhaal. Van zzp'ers tot multinationals: alle organisaties moeten zich aanpassen aan de nieuwe regels. Dat betekent onder meer dat ze aan consumenten duidelijk moeten maken welke persoonlijke gegevens ze verwerken en waarom, dat ze alleen gegevens verzamelen die voor het beoogde doel noodzakelijk zijn, en dat ze gegevens veilig en niet te lang bewaren.

Organisaties moeten bijvoorbeeld – voor zover ze dat niet al deden – nagaan welke persoonsgegevens ze allemaal in huis hebben en op welke zogeheten 'wettelijke grondslag'. Hebben ze dat eenmaal in beeld, dan moeten ze er een register over bijhouden.

Ook nieuw is een 'verwerkersovereenkomst' waarin organisaties afspraken moeten maken met derde partijen waarmee ze persoonsgegevens delen. Sommige bedrijven krijgen er via de wet zelfs een nieuwe functie bij: de zogeheten 'functionaris gegevensbescherming'. In de nieuwe wet staat dat overheidsorganisaties en bedrijven die veel bijzondere gegevens verwerken, bijvoorbeeld over politieke voorkeur of gezondheid, zo'n functionaris moeten aanwijzen. Bij de toezichthouder zijn er inmiddels meer dan drieduizend aangemeld. Zo'n functionaris moet erop toezien dat zijn of haar bedrijf de regels naleeft.
 
Mag je sportvereniging nog wel foto's van jou online posten?
De nieuwe privacywet is streng als het gaat om het publiceren van persoonlijke informatie van anderen. Foto's vallen daar ook onder. Tegelijk kent de wet ook een belangrijke uitzondering die gaat over informatievoorziening, zoals bij journalistieke berichtgeving. En die uitzondering wordt dan weer heel ruim geïnterpreteerd. Een sportclub kan prima verslag doen van een wedstrijd of bijeenkomst en daar foto's van publiceren. „Je moet je daarbij wel afvragen: is deze persoon relevant voor het nieuws?", zegt Engelfriet. „Dus wel de spits die de goal maakt in de wedstrijd waardoor de club promoveert. Maar misschien geen close up van iemand uit het publiek."

Het doel moet dus zijn om het publiek te informeren. „Als de basisschool honderd jaar bestaat, kan er best een foto in de krant worden geplaatst", zegt Engelfriet. „,Maar het is niet relevant om te weten wie er in klas 3B zit, dus het is niet de bedoeling dat scholen klassenfoto's op het openbare internet publiceren. Net zoals een bedrijf niet zonder toestemming foto's van personeelsleden online kan zetten als dat niet relevant is."
 
Hoe zit het met al die e-mails de afgelopen tijd over nieuwsbrieven?
Allerlei organisaties vroegen, smeekten soms, of je nog wel mailtjes van ze wil ontvangen. Organisaties deden dat als ze twijfelden of ze eerder op de juiste manier toestemming hebben gekregen hun nieuwsbrieven naar je te sturen. „Enkel en alleen wanneer mensen iets kóchten, dan mocht bij het bestelformulier een vakje aangevinkt staan met 'Ik wil de nieuwsbrief ontvangen'", zegt Engelfriet. „In alle andere gevallen moesten vakjes uitgevinkt staan. Het aanvinken was dan de manier om toestemming te geven."
 
Hoe zit het met kinderen en de nieuwe wet?
Kinderen onder de 16 jaar met een Outlook- of Skype-account konden vorige maand opeens niet meer inloggen. Microsoft laat kinderen onder deze leeftijd bewijzen dat ze toestemming hebben van hun ouders, bijvoorbeeld met een creditcard waar 50 cent van wordt afgeschreven.

Sociale media zijn verplicht om bij gebruikers die jonger zijn dan zestien jaar te vragen of zij toestemming hebben van ouders. WhatsApp verhoogde zelfs z'n leeftijdsgrens naar 16 jaar – zo hoeft het geen toestemming van ouders te vragen – maar vraagt niet naar een geboortedatum om te controleren hoe oud tieners zijn. Jonge gebruikers hoeven slechts op 'akkoord' te klikken om de leeftijdsgrens te omzeilen.
 
Waar komt deze wet vandaan?
Het voelt misschien alsof deze wet uit de lucht komt vallen, maar dat is niet zo. Het voorstel van de Europese Commissie over nieuwe privacywetgeving stamt al uit 2012. Daarna is er vier jaar onderhandeld en zijn er door de 28 lidstaten een recordaantal van bijna vierduizend amendementen ingediend. Begin 2016 zijn de nieuwe privacyregels aangenomen. Europa kreeg ruim twee jaar voorbereidingstijd, tot vandaag. Toch zijn zowel bedrijven als onze overheidsorganisaties over het algemeen nogal laat wakker geworden. Vorige week werd pas de uitvoeringswet – de Nederlandse uitwerking van de regels – door de Eerste Kamer goedgekeurd. Acht EU-landen, waaronder België, zijn zelfs te laat met het aanpassen van de nationale wetten, wat juridische onzekerheid oplevert
 
Stopt deze wet de datahonger van de techreuzen?
Facebook is al twee jaar bezig met de wet en noemt het implementeren van de nieuwe regels de 'grootste operatie in de geschiedenis van het bedrijf'. Toch is er kritiek op hoe het bedrijf de nieuwe wet heeft aangepakt. Gebruikers werden door een menu geloodst waarbij ' I Accept ' als de aanlokkelijkste optie werd gepresenteerd. Daarbij werd tegelijk gevraagd om gezichtsherkenning te accepteren. Dat was eerder nog na kritiek van toezichthouders uitgeschakeld in Europa. Consumenten krijgen wel meer inzage, maar geen volledige controle over hoe data verzameld worden. Topman Mark Zuckerberg zei tegen persbureau Reuters de geest van deze privacywet wereldwijd te handhaven, maar in de praktijk haalde hij zijn niet-Europese gebruikers onder de strenge wetgeving vandaan.

Het kan ook anders, liet Microsoft zien. Deze techreus beloofde gebruikers wereldwijd dezelfde data- en privacyrechten te geven als Europeanen. Voor dit bedrijf is het wel wat makkelijker om braaf te zijn: Microsoft leunt niet zo op advertentie-inkomsten als Facebook en Google. Die laatste voert ondanks de nieuwe wetgeving ook geen grote veranderingen door. Het bedrijf heeft wel zijn voorwaarden verduidelijkt. De teksten over het privacybeleid zijn leesbaarder en er zijn animatievideo's gemaakt die uitleg geven.
 
Hoe groot is de kans dat bedrijven en organisaties een boete krijgen?
Minister Sander Dekker (Rechtsbescherming, VVD) zei donderdag dat er bij kleine organisaties voorlopig schappelijk zal worden omgegaan met de nieuwe Europese privacywet. Dat was opvallend, want hij gaat daar niet over: dat is de toezichthouder Autoriteit Persoonsgegevens. Die laat weten dat de prioriteit inderdaad niet bij kleine organisaties ligt, maar dat zij niet zijn vrijgesteld van de wet.

Consumenten kunnen klagen bij de toezichthouder, die boetes kan opleggen als er sprake is van bijvoorbeeld grove nalatigheid. Maar de Autoriteit Persoonsgegevens is vergeleken met sommige andere toezichthouders nog piepklein. De toezichthouder zegt dat het met 123 fte te weinig mankracht heeft. Het is de vraag of de toezichthouder het aantal klachten van consumenten aankan. De organisatie heeft dit jaar al net zoveel klachten over privacy ontvangen als in heel 2017 bij elkaar. In het begin zal de toezichthouder overspoeld worden met meldingen", zegt ICT-jurist Arnoud Engelfriet. „Ik zou daarom ook overwegen de klacht bij de organisatie zelf neer te leggen. Je kunt er niet op vertrouwen dat jouw sportvereniging na vandaag meteen een boete krijgt als ze een foto te veel op internet plaatsen."

In het ergste geval kunnen mensen ook naar de rechter stappen. In de nieuwe privacywet wordt expliciet de optie genoemd om met groepen van wie de privacy is geschonden een claim in te dienen bij een rechtbank.

Internationaal is het beeld niet anders. Zeventien van de 24 Europese toezichthouders die meededen aan een enquête van persbureau Reuters zeggen nog te weinig geld of slagkracht te hebben om de nieuwe privacywet te handhaven.