12 vragen en antwoorden over de nieuwe privacywet AVG/GDPR
- Nieuws
- 12 vragen en antwoorden over de nieuwe privacywet AVG/GDPR
[AVROTROS] Op 25 mei 2018 treedt de nieuwe Algemene verordening gegevensbescherming in werking. Eindelijk is er op Europees niveau een wet die de privacy van de burgers beschermt. Wat houdt de wet precies in en wat zijn de gevolgen voor consumenten?
Video niet beschikbaar
De Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is twee jaar geleden al in werking getreden, maar vanaf 25 mei moeten landen in de Europese Unie zich hier ook aan houden. De afgelopen twee jaar hebben bedrijven en toezichthouders de tijd gehad om zich voor te bereiden op de nieuwe privacywet.
Wat houdt deze nieuwe privacywet AVG in?
Bedrijven krijgen meer verplichtingen als het gaat om de privacy van consumenten. Consumenten krijgen daarentegen meer rechten als het gaat om controle over hun persoonsgegevens. Wie zich niet aan de nieuwe wet houdt kan een boete opgelegd krijgen. Alle Europese toezichthouders hebben nu dezelfde bevoegdheden om zo'n boete op te leggen.
Wat zijn persoonsgegevens eigenlijk?
'Persoonsgegevens' is een heel ruim begrip. Niet alleen je woonadres, postcode, woonplaats, mobiele nummer, ip-adres of e-mailadres zijn persoonsgegevens, maar ook zaken zoals je aankopen die geregistreerd worden, je belgedrag, hoe vaak je bij een sportvereniging komt en locatiegegevens (zoals in een smartphone).
Is de AVG hetzelfde als de sleepwet?
Nee, de sleepwet is de Wet op de inlichtingen- en veiligheidsdiensten. Die wet geeft inlichtingendiensten toestemming om af te luisteren en te hacken. Ze mogen ongericht zoeken, er hoeft geen aanleiding te zijn. Bij de AVG gaat het om persoonsgegevens en hoe er met die gegevens omgegaan wordt.
Recht op informatie: wat betekent dat?
Wat een bedrijf doet met data van consumenten staat meestal beschreven in een privacy statement, maar zo'n statement moet door de indiensttreding van de AVG worden uitgebreid. Dit geldt niet alleen voor bedrijven, maar ook voor verenigingen en stichtingen die persoonsgegevens verzamelen. Zo moet duidelijk zijn hoe lang gegevens worden bewaard. Consumenten moeten actief worden gewezen op het recht om gegevens in te zien, ze te laten aanpassen, te laten aanvullen of te laten verwijderen. Ook moet er in dat statement staan dat je het recht hebt om bezwaar te maken en dat je de organisatie kan zeggen wat zij met de gegevens mogen doen. Heb je ergens toestemming voor gegeven? Dan moet je er op gewezen worden dat je die toestemming op elk moment kan intrekken.
Je moet ook duidelijk kunnen zien dat je terecht kan bij de Autoriteit Persoonsgegevens om een klacht in te dienen, of je gegevens worden doorgegeven naar landen buiten de Europese Unie en waar je gegevens vandaan komen (hoe zijn deze verzameld?).
"Consumenten hebben recht op inzage, uitleg en transparantie", zegt onderzoeksjournalist Brenno de Winter. "Soms kan het zijn dat de inzage wordt geweigerd als er andere belangen zijn. Je hoort wel antwoord te krijgen."
Wat is het recht op dataportabiliteit?
Het recht op dataportabiliteit is nieuw met de invoering van de AVG. Stel je wil wisselen van bank, dan kan je de bank vragen om jouw gegevens door te geven aan de nieuwe bank. Hetzelfde geldt als je overstapt naar een andere zorgverzekeraar. Alle gegevens die bij je huidige zorgverzekeraar bekend zijn kun je naar de nieuwe zorgverzekeraar laten sturen, zodat je daar niet het hele aanmeldproces opnieuw hoeft te doorlopen.
Consumenten krijgen meer controle over hun eigen persoonsgegevens met deze regel. Daarnaast wordt het makkelijker om over te stappen naar een andere aanbieder van een dienst.
Kan je je persoonlijke gegevens laten verwijderen?
Ja, ook dat is een nieuw recht voor consumenten. Je kan een organisatie verzoeken om je persoonsgegevens te laten verwijderen. Dat kan niet overal, zoals bij de Belastingdienst. Stel je bent lid van een sportvereniging en je schrijft je uit, dan kan je de vereniging verzoeken al jouw gegevens te verwijderen. Heeft een bedrijf jouw gegevens ook doorgegeven aan een zusterorganisatie? Dan kan je het bedrijf verzoeken om ook daar jouw gegevens te laten verwijderen.
Hoe zit het met nieuwsbrieven?
Veel bedrijven of organisaties zijn nu consumenten aan het mailen die regelmatig een nieuwsbrief hebben ontvangen om hen te wijzen op de nieuwe privacyregels, of wijzen bezoekers hierop op hun website. Een nieuwsbrief mag onder de AVG gewoon worden verstuurd, zolang je jezelf maar aangemeld hebt voor die nieuwsbrief. Dat is al jaren zo geregeld in de Telecomwet.
Mag je nog een foto op sociale media plaatsen?
Het kan zijn dat je foto's hebt gemaakt waar mensen op staan. Als je die op je Facebookpagina of website wil plaatsen, dan heb je daar toestemming voor nodig van de geportretteerde. Foto's met portretten van mensen zijn immers een persoonsgegeven. Je moet een grondslag hebben, zoals toestemming, om de foto te publiceren op je Facebookpagina of Instagramprofiel. Sta je dus op een druk kruispunt in Amsterdam en staan er tientallen mensen op je foto? Dan moet je hun gezichten blurren als je de foto wil publiceren. Dit is echter het geval als je je foto's beroepsmatig publiceert.
Stel dat je alleen maar fotografeert als hobby en je publiceert die foto's niet op tientallen websites, dan wordt dat gezien als 'persoonlijk of huishoudelijk' doel. Je valt dan niet onder de AVG. Zet je een hele portfolio online? Dan val je wel weer binnen de AVG. Je kan dus zonder problemen een foto met je vriend of vriendin op je Facebook-, Twitter- of Instagramaccount zetten.
Kinderen op sociale media: toestemming nodig?
Voor kinderen onder de zestien die op sociaalnetwerksites zoals Facebook of Instagram zitten, geldt dat ouders hiervoor toestemming moeten geven. Op Instagram wordt er gevraagd om een geboortedatum. Outlook (van Microsoft) verzoekt een kopie van een identiteitsbewijs of een creditcardbetaling om zo te verifiëren dat de ouders toestemming geven voor gebruik van het programma. Dat vindt De Winter "heel vreemd", want "toestemming is niet de grondslag". De Winter noemt het "doorslaan" aangezien er reeds een overeenkomst is.
Bedrijf houdt zich niet aan de wet: wat kan je doen?
Consumenten die denken dat een organisatie zich niet aan de AVG privacywet houdt, kunnen een klacht indienen bij het bedrijf, maar kunnen zich ook wenden tot de Autoriteit Persoonsgegevens of de rechter.
Hoe hoog zijn de boetes?
Wie zich niet aan de AVG houdt loopt het risico een boete te krijgen. De hoogte van de boete is afhankelijk van de zwaarte van de overtreding en kan oplopen tot twintig miljoen euro (of vier procent van de omzet). "Voor bedrijven is een boete echter niet de grootste bedreiging", aldus De Winter. "Handhavende maatregelen wel, zoals een berisping of waarschuwing. Ook consumenten kunnen in theorie beboet worden, maar dan moet je het wel heel bont maken."
Reageren?
Dat kan onder dit artikel op de website van Radar of plaats een reactie op de Facebookpagina van Radar. Dit artikel en meer consumentennieuws in je mailbox? Meld je dan aan voor de gratis nieuwsbrief van Radar.