Op 25 mei is het zover, maar wat betekent die beruchte, ingrijpende GDPR-wet voor jou?

Op 25 mei is het zover, maar wat betekent die beruchte, ingrijpende GDPR-wet voor jou?

Op 25 mei gaat de beruchte nieuwe Europese privacywet in en moeten bedrijven maar ook vzw’s en organisaties radicaal anders met persoonsgegevens omgaan. Wat is die General Data Protection Regulation (GDPR), waarom is het allemaal zo’n groot spel en ga jij daar iets van ondervinden?

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) zoals de GDPR in mooi Nederlands heet, is een Europese verordening (dus met rechtstreekse werking) die gaat over de “bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers en betreffende het vrije verkeer van die gegevens”.

Ingrijpend

Waar het op neerkomt, is dat door de wet het straks voor elke EU-burger duidelijk moet zijn welke data bedrijven, instanties en sites over hen willen hebben en ook dat ze inzicht krijgen in welke data die al over hen hebben opgeslagen. Dat is erg ingrijpend, want het gaat echt om persoonlijke data zoals je naam, adres, foto’s, e-mailadres, vingerafdruk, medische gegevens, IP-adressen etcetera etcetera. Aan iedereen moet precies duidelijk worden gemaakt waar die gegevens voor gebruikt worden, en hoe ze zijn opgeslagen.

Bovendien moeten de bedrijven hun klanten inzicht bieden in hun gegevens, die op verzoek aanpassen, verwijderen of overdragen. Dat laatste geldt bijvoorbeeld wanneer consumenten overstappen van energiebedrijf of provider. Alle bedrijven die in de Europese Unie diensten aanbieden moeten aan de regels voldoen, van je bank, Facebook en Google tot je plaatselijke vereniging (van voetbalclubs tot festivalorganisatoren).

De meeste grote bedrijven zijn twee jaar geleden al begonnen met hun voorbereiding op de nieuwe wet, dus die hebben hun zaken ondertussen wel in orde. Maar het probleem schuilt elders: duizenden sportclubs en andere verenigingen bijvoorbeeld hebben vaak niet eens weet van wat ze moeten doen.

Verstrekkende gevolgen

Dat klinkt eigenlijk allemaal heel logisch en simpel, maar er zijn wel degelijk erg verstrekkende gevolgen. Tenzij ouders daar toestemming voor geven mogen bijvoorbeeld geen persoonsgegevens van kinderen meer worden verzameld. Je kan nu ook een onderneming of organisatie gaan vragen om je persoonsgegevens te wissen – dat is je recht “om vergeten te worden”. En als die dat niet doen, hangen er serieuze boetes boven hun hoofd.

Van bedrijven (maar dus ook verenigingen) wordt voortaan ook verwacht dat ze je data op een behoorlijke manier beveiligen, en wanneer ze gehackt worden, moeten ze je verplicht dat datalek melden. Tot nu werden datalekken met persoonsgegevens heel vaak verdoezeld, vooral omdat bedrijven bang waren voor de slechte publiciteit door zo’n melding.

Gedaan met wegmoffelen en kleine lettertjes

Bedrijven en verenigingen moeten straks ook duidelijk toestemming vragen voor het gebruik van je gegevens, en duidelijk en begrijpelijk uitleggen waar ze die gegevens voor gaan gebruiken, wie ze te zien krijgt, waar de gegevens bewaard worden en hoelang. Zo’n dingen mogen vanaf 25 mei niet meer worden weggemoffeld in kleine lettertjes of paginalange gebruiksvoorwaarden. Bedrijven (en verenigingen) moeten beknopt, transparant en in eenvoudige taal uitleggen waar ze data voor nodig hebben.

Inschrijfformulieren mogen niet meer met standaard aangevinkte opties worden aangeboden (nu is vaak bijvoorbeeld het hokje “ik wil op de hoogte gehouden worden” aangevinkt). Dat trucje gebruiken bedrijven om reclame naar klanten te sturen, die daar in de meeste gevallen nooit om hebben gevraagd.

De dingen die ze je niet meer mogen vragen

Wie nieuwsbrieven verstuurd moet dit weten: toestemming is in sommige gevallen ook nodig om leden van bestaande nieuwsbrieven te blijven e-mailen. Als een bedrijf of vereniging die nadrukkelijke toestemming nog niet hebben gevraagd, zullen ze dat voor 25 mei moeten doen. En nadrukkelijk betekent ook echt dat: als iemand niet antwoordt op een mail waarin je hem die toestemming vraagt, betekent dat dat zijn adres automatisch uit de mailinglijst moet worden verwijderd.

Bepaalde gegevens mogen sowieso niet meer gevraagd of verwerkt worden. Het gaat dan om zaken als huidskleur of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, biometrische en medische gegevens en seksueel gedrag of seksuele geaardheid. De gegevens mogen alleen nog worden verwerkt als de gebruiker die zelf openbaar maakt. Dat laatste betekent concreet bijvoorbeeld dat als iemand die dingen zelf op Facebook zet of laat zien via een foto op Instagram, dat die posts niet verwijderd moeten worden door Facebook en Instagram.

Organisaties die zich beroepen op een andere wettelijke grond dan ondubbelzinnige toestemming, mogen ook zonder expliciete toestemming gegevens verwerken. Een paar simpele voorbeelden: de Dimona-aangifte voor nieuwe werknemers is een wettelijke verplichting en daarvoor is geen toestemming van de betrokkene nodig. En een arts mag bijvoorbeeld een medisch dossier bijhouden zonder dat er toestemming voor nodig is omdat van vitaal belang is voor zijn/haar patiënt.

Bepaalde gegevens mogen sowieso niet meer gevraagd of verwerkt worden. Het gaat dan om zaken als huidskleur of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, biometrische en medische gegevens en seksueel gedrag of seksuele geaardheid.

We krijgen twee nieuwe rechten als burgers

We hebben vanaf 25 mei ook allemaal een nieuw recht: het recht op inzage in de persoonsgegevens die bedrijven over ons hebben opgeslagen, en we mogen eisen die data zelf digitaal te ontvangen. En we hebben ook “het recht om vergeten te worden”. Als we niet willen dat bijvoorbeeld negatieve of beschamende informatie op een sociaal netwerk terug te vinden is, kunnen we eisen die informatie te verwijderen.

Dat laatste is niet absoluut. Stel, je bent veroordeeld voor een strafbaar feit – als de berichten daarover op een nieuwssite kloppen, kan je niet eisen dat ze dat bericht verwijdert. En dat gaat ook op voor Google-searches. Foto’s en berichten die door minderjarigen zijn geplaatst, moeten echter op verzoek altijd worden verwijderd.

Wie gaat dat controleren?

Wie gaat dat trouwens allemaal controleren? In ons land is dat de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter bekend als Privacycommissie, de overheidsinstelling die toeziet op de bescherming van de privacy bij de verwerking van persoonsgegevens.

De Privacycommissie verdwijnt overigens: als gevolg van de invoering van de Europese wet zal ze omgevormd worden tot de Gegevensbeschermingsautoriteit. Die kan een maximale boete van 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van de overtreder opleggen, waarbij de hoogste variant geldt.

De meeste grote bedrijven zijn twee jaar geleden al begonnen met hun voorbereiding op de nieuwe wet, dus die hebben hun zaken ondertussen wel in orde. Maar het probleem schuilt elders: duizenden sportclubs en andere verenigingen bijvoorbeeld hebben vaak niet eens weet van wat ze moeten doen. Ze gaan wellicht niet actief opgespoord en vervolgd worden, maar dat is geen vrijstelling, want als één van de leden een klacht indient, heb je sowieso prijs.

De EU heeft een speciale website, met erg concrete voorbeelden van wat er na 25 mei verandert.

Gesponsorde artikelen