Van banken en verzekeringsmaatschappijen tot supermarkten en (web)winkels: bijna iedere organisatie verzamelt tegenwoordig data over haar klanten. Die klanten hebben doorgaans geen idee wat er met hun gegevens gebeurt en wat de consequenties voor hen kunnen zijn als er iets misgaat, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. “De gevolgen en impact van bijvoorbeeld ID-fraude, discriminatie en uitsluiting kunnen voor betrokkenen enorm zijn.” Daarom treedt op 25 mei 2018 nieuwe Europese privacywetgeving in werking, de Algemene verordening gegevensbescherming (AVG). Vanaf dat moment geldt dezelfde privacywetgeving in de hele Europese Unie.
Veranderingen met de AVG
Wat verandert er precies voor burgers met de komst van de AVG? Zij krijgen volgens Wolfsen voornamelijk meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden versterkt en uitgebreid. “In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.” Organisaties moeten bewijzen dat zij die toestemming hebben gekregen en mensen moeten die gemakkelijk weer kunnen intrekken. Een ander belangrijk aspect is het recht op vergetelheid. Momenteel hebben mensen al het recht een organisatie te vragen hun persoonsgegevens te verwijderen als die daar niet meer nodig zijn. Als de AVG van kracht wordt, kunnen ze organisaties ook vragen in dat geval de verwijdering door te geven aan alle andere bedrijven die hun gegevens via hen hebben ontvangen. Daarnaast hebben burgers het recht om in te zien welke persoonsgegevens een organisatie van hen in bezit heeft, waar deze voor gebruikt worden, aan wie deze gegevens verder nog verstrekt worden en de verwachte opslagtermijn ervan. Indien de gegevens onjuist zijn, hebben mensen het recht om ze aan te passen.
“Een van de belangrijkste veranderingen is dat organisaties een verantwoordingsplicht hebben. Ook moeten ze het melden als er een lek is”
Verantwoordingsplicht
Voor bedrijven die persoonsgegevens verwerken betekent de invoer van de AVG dat zij er meer taken en verantwoordelijkheden bij krijgen, aldus Mary-Jo de Leeuw, partner bij Revnext en oprichter van de Cyberwerkplaats. “Een van de belangrijkste veranderingen is dat organisaties een verantwoordingsplicht hebben. Ook moeten ze het melden als er een lek is.” De verantwoordingsplicht houdt in dat bedrijven met documenten moeten kunnen aantonen dat ze de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Dit geldt voor alle organisaties die persoonsgegevens verwerken, dus ook voor kleine mkb’ers en zzp’ers die telefoonnummers van klanten of personeelsinformatie bijhouden.
De AVG levert echter niet alleen lasten op voor bedrijven, benadrukt Wolfsen. Omdat er straks nog maar één wet in de hele Europese Unie van toepassing zal zijn, ontstaat er meer rechtszekerheid en een gelijk speelveld in elk land. Daarnaast zal het hebben van één algemeen geldige wet volgens Wolfsen veel in administratieve en nalevingskosten schelen. De Leeuw betwijfelt of dit echt het geval zal zijn. “Bedrijven moeten namelijk wel aangeven wie er allemaal toegang heeft tot bepaalde gegevens en hoe ze bewaard worden. Dat levert extra registratielast op.”
Theoretisch raamwerk
Er zijn nu 28 nationale privacywetten. Deze zijn vergelijkbaar, maar op belangrijke punten verschillend. De AVG geldt voor en in alle lidstaten. Op sommige punten laat de AVG nog ruimte voor uitwerking in nationale uitvoeringswetten. Met de AVG komt er een nieuwe Europese privacy-organisatie: de European Data Protection Board (EDPB). De EDPB zal bestaan uit de voorzitters van alle 28 EU toezichthouders, plus de EDPS. De EDPB kan bijvoorbeeld besluiten nemen als er verschillen in oordelen optreden tussen de lidstaten. “Het is van belang dat alle toezichthouders het met elkaar eens worden en dat de uitkomsten eenduidig worden geïnterpreteerd. De AVG heeft nu namelijk nog een aantal open eindjes”, zegt De Leeuw. Een van de zaken waar bijvoorbeeld verschil in zit, is de zwarte lijst, waarop personen staan vermeld met wie een organisatie geen zaken wil doen. Het verschilt per lidstaat of het is toegestaan een dergelijke lijst bij te houden. De reden dat dit soort zaken in de AVG open is voor aanvullende regelgeving per land, is dat wet- en regelgeving in diverse Europese landen niet met elkaar overeenkomt. In Nederland geldt dat in onze nationale uitvoeringswet, die nu bij de Tweede Kamer ligt, is opgenomen dat een zwarte lijst mag, maar alleen onder voorwaarden en als de AP daarvoor een vergunning heeft verleend.
Jurisprudentie
Over andere onderwerpen in de AVG geven de lidstaten gezamenlijk uitleg in guidelines. Er zijn inmiddels guidelines over een groot aantal onderwerpen, zoals over de meldplicht datalekken, DPIA’s en FG’s. De AVG is dus nog meer een theoretisch raamwerk, waarvan in de praktijk moet blijken op welke punten hij moet worden bijgeschaafd en of iedereen de regels op dezelfde manier interpreteert, licht De Leeuw toe. “Vaak zie je met wet- en regelgeving dat rechtszaken leiden tot jurisprudentie. Aan de hand daarvan kun je vervolgens de impact of reikwijdte van de wet bepalen.” Anders gezegd: er zullen eerst mensen moeten zijn die een rechtszaak aanspannen tegen een organisatie vanwege het schenden van hun privacy. De daaruit volgende conclusie kan vervolgens als voorbeeld voor andere bedrijven en burgers dienen. De invoer van de AVG op 25 mei 2018 is dus pas het begin.
In 10 stappen voorbereid op de AVG |
---|
Stap 1: Bewustwording Stap 2: Rechten van betrokkenen Stap 3: Overzicht verwerkingen Stap 4: Data protection impact assessment Stap 5: Privacy by design & privacy by default Stap 6: Functionaris voor de gegevensbescherming Stap 7: Meldplicht datalekken Stap 8: Bewerkersovereenkomsten Stap 9: Leidende toezichthouder Stap 10: Toestemming |