Je kunt LinkedIn niet openen of er komen tig berichten voorbij over GDPR. De General Data Protection Regulation, in goed Nederlands de Algemene Verordening Gegevensbescherming, is de nieuwe Europese wet die aangenomen is om persoonsgegevens te beschermen. Bedrijven hebben tot 25 mei de tijd om aan deze wet te voldoen. Maar wat houdt het nu eigenlijk écht in en wat heb je hieraan als consument? Lees dan snel verder!
In 2001 werd in Nederland de Wet Bescherming Persoonsgegevens van kracht. Deze was gebaseerd op een Europese richtlijn uit 1995. De wet kent enkele rechten toe aan personen en plichten aan bedrijven die persoonsgegevens verwerken:
Elke instelling die gegevens verwerkt en bewaard moest dit kenbaar maken aan de Autoriteit Persoonsgegevens en moest zich houden aan deze regels. Inmiddels leven we in 2018 en is deze wet niet meer toereikend, vooral door de opkomst van internet en de Cloud, om maar eens wat te noemen. Daarom is in 2016 de GDPR aangenomen in Europa.
Op 4 mei 2016 is de Europese Regelgeving de GDPR, ook wel AVG genoemd, gepubliceerd. Twintig dagen later is deze in werking getreden maar hij wordt pas van kracht op 25 mei 2018. In de tussentijd was de WBP nog van toepassing. Deze twee jaar was nodig om bedrijven de gelegenheid te geven zich voor te bereiden op de GDPR en de benodigde aanpassingen in bedrijfsvoering te doen.
En organisaties zijn zich zeker aan het voorbereiden. Zullen ze allemaal klaar zijn op 25 mei? Dat waag ik te betwijfelen maar de eerste stappen zijn zeker gezet. De GDPR geeft je als persoon meer rechten en een duidelijker inzicht in wat er met je gegevens gebeurt. En er kunnen forse straffen worden opgelegd aan organisaties die zich niet aan de verordening houden.
Veel techbedrijven en consultants roepen al maanden (vooral op LinkedIn) dat ze je kunnen helpen GDPR-proof te worden. Je zult dit ook vast wel zijn tegengekomen. Maar weten die mensen echt wel waar ze het over hebben? Sommigen vast wel, maar velen ook echt niet. Gelukkig hoef jij je als persoon je daar niet druk om te maken. Tenzij je natuurlijk in de branche zit, of een functie hebt binnen je organisatie die belast is met de uitvoering van GDPR.
De GDPR is van toepassing op persoonsgegevens. Het gaat hierbij om gegevens die verbonden zijn aan een individu of het individu kunnen identificeren. Je kunt hierbij denken aan naam, adres, foto, telefoonnummer, bankrekening, vingerafdruk, BSN nummer, e-mailadres maar ook IP adres etc. etc. etc.
Dit betekent dus dat vrijwel alle organisaties waar je als persoon contact mee hebt, persoonsgegevens van je heeft en dat daar dus de GDPR op van toepassing is. Ook bedrijven die enkel je e-mailadres hebben voor een mailinglist hebben dus een persoonsgegeven van je. Ik weet niet hoeveel nieuwsbrieven etc jij per dag krijgt, maar bij mij zijn dat er echt enorm veel. En denk eens aan alle apps die je op je telefoon hebt staan en waarvoor je moet inloggen. Het gaat dus echt niet alleen om webshops, de apotheek en dat soort bedrijven.
Dit was in de WBP al geregeld: het moet bij het individu bekend zijn wie zijn gegevens verwerkt en bewaard. Ook moet het doel waarvoor de gegevens verzameld worden, duidelijk zijn. Het is niet toegestaan (zonder toestemming) de gegevens voor andere doeleinden te gebruiken.
In de praktijk betekent dit dus dat als jij je gegevens doorgeeft voor de aankoop van een auto, en je daarbij niet specifiek toestemming verleend voor het ontvangen van nieuwsbrieven etc, het autobedrijf jou wel reclame mag sturen. Heb je echter alleen een proefrit gemaakt, en ben je dus (nog) geen klant van het bedrijf, dan mag dit niet zonder uitdrukkelijke toestemming.
De organisatie die de gegevens bewerkt en bewaard moet altijd kunnen aantonen dat zij toestemming hebben van het individu. Bovendien moet het voor personen net zo makkelijk zijn om de toestemming in te trekken als deze te geven.
Organisaties mogen enkel gegevens verzamelen en bewaren die voor het beoogde doel noodzakelijk zijn. Zo hebben maar weinig bedrijven je BSN nodig om goederen of diensten aan je te leveren. Als ze het niet nodig hebben, mogen ze er dus niet om vragen en het al helemaal niet opslaan.
Juistheid
De gegevens moeten altijd correct zijn en organisaties moeten ervoor zorgen dat dit ook zo blijft.
Dit is een belangrijke regel. Niet alleen moeten bedrijven zorgvuldig omgaan met de gegevens en deze veilig opslaan, ze mogen ze ook niet meer onbeperkt bewaren. Ze mogen de gegevens bewaren zolang als deze voor het beoogde doel nodig zijn. Wel zullen veel bedrijven het op marketingdoeleinden gooien en dat gaat natuurlijk alsmaar door.
De GDPR kent drie nieuwe rechten toe aan individuen.
Een individu kan altijd aan een organisatie vragen om de gegevens die over hem of haar bekend zijn, in te zien. Daarnaast kun je vragen om informatie over hoe de gegevens zijn verkregen, voor welk doeleind ze gebruikt worden, met wie ze gedeeld worden en hoe ze verder verwerkt en bewaard worden.
Je hebt als persoon het recht om ‘vergeten te worden'. Oftewel, je mag aan elke organisatie vragen om je gegevens te verwijderen. Dit recht bestond al, maar wordt nu versterkt. Naast dat deze organisatie je gegevens moet verwijderen op verzoek, kun je ze ook vragen om dit recht toe te passen bij elke organisatie waarmee ze jouw gegevens hebben gedeeld. Het werkt dus de hele keten door.
Je hebt als individu het recht om je gegevens te ontvangen in een standaard format, zodat je ze kunt delen met andere bedrijven. Dit werkt natuurlijk onder bepaalde voorwaarden. Je kunt zelfs eisen dat de organisatie zelf de gegevens doorstuurt naar een andere organisatie, mits dit uiteraard technisch kan. Dit gebeurt nu al met medische gegevens bijvoorbeeld, als je daar toestemming voor geeft.
Als je van de ene dienstverlener (tandarts, huisarts, apotheek etc) overstapt naar de andere, kun je je medische dossier opvragen bij de oude en deze delen met de nieuwe. Dit moet vanaf 25 mei dus voor alle bedrijven gaan gelden, zodat je dus makkelijker over kunt stappen of je ergens anders aan kan melden.
De GDPR geldt voor alle organisaties, dus van voetbalclub tot gemeente, van Microsoft tot Albert Heijn en alles wat daartussenin zit.
Maar hoe zit het dan met politie en justitie? Nou, de GDPR zoals die gesteld is werkt niet voor onze opsporingsdiensten. Zij hebben dus als enige uitzondering een eigen richtlijn, welke wel alleen geldt tijdens opsporing en vervolging van strafbare feiten en tijdens de uitvoering van straffen, evenals de taken die te maken hebben met openbare veiligheid. Deze richtlijn heet de Richtlijn gegevensbescherming politie en justitie. Voor alle andere taken geldt de GDPR overigens wél voor politie en justitie.
Politie en justitie heeft vaak te maken met gevoelige informatie, maar dit is vaak niet bekend bij de betrokken partijen. Zij hoeven hier ook geen inzage in te geven, wel moeten ze hier op een veilige manier mee omgaan. De grondrechten van burgers, privacy voorop, moeten wel ten allen tijden gewaarborgd blijven.
Een datalek ontstaat wanneer gegevens in handen (kunnen) vallen van de verkeerde personen. Dit is een breed begrip. Je hebt vast wel eens gehoord van een kwijtgeraakte usb stick of een laptop die ergens is blijven liggen met daarop (gevoelige) informatie. Dit is een klassiek voorbeeld van een datalek.
Maar ook als je een e-mail verstuurd naar de verkeerde ontvanger of zelfs als je papieren bij het oud papier zet, kun je te maken hebben met een datalek. Zo'n lek ontstaat dus 9 van de 10 keer door een menselijke fout, vaak niet opzettelijk gemaakt.
Een hack is overigens ook een datalek, net als diefstal van een apparaat met gegevens daarop (laptop, tablet, telefoon, usb stick etc). Hier ligt geen onbewust menselijk handelen aan ten grondslag.
Elke organisatie moet voor alle soorten datalekken maatregelen hebben getroffen. Denk aan firewalls tegen hackers, en de mogelijkheid tot het op afstand wissen van apparaten in het geval van verlies of diefstal. Verder is het belangrijk om bewustwording te creëren bij personeel, welke handelingen kunnen consequenties hebben. Je zult dit zelf misschien ook al gemerkt hebben op je werk.
Een datalek moet altijd binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Uitzondering is als het lek niet tot schade van de betrokkenen zal leiden, dus als er geen persoonsgegevens zijn gelekt. Indien er negatieve effecten zijn moeten de betrokken personen (diegenen waarvan de data gelekt is) op de hoogte gesteld worden. Mochten de gegevens echter versleuteld zijn vervalt deze meldplicht aan personen.
Een organisatie krijgt een schriftelijke waarschuwing als het lek niet opzettelijk is ontstaan en er alles aan gedaan is om de GDPR na te leven. Ook kunnen er periodieke controles worden uitgevoerd.
Is de organisatie echt nalatig dan kunnen er flinke boetes worden opgelegd:
Deze bedragen liegen er niet om en kunnen een bedrijf met gemak failliet laten gaan. Maar dat is misschien nog niet het ergste, het bedrijf loopt namelijk een enorme imagoschade op. Want verwacht maar niet dat dit soort gevallen in de doofpot verdwijnen. Misschien tijdelijk maar het zal in alle gevallen toch wel bekend gaan worden. Zie maar het Facebook schandaal, een recent voorbeeld, dit heeft Facebook miljoenen leden gekost. En dat is misschien wel erger dan een miljoenenboete…
Als persoon ga je denk ik effectief niet veel merken van de GDPR (AVG)? Als medewerker zul je door je werkgever vast op de hoogte gesteld zijn wat het voor jouw beroep betekent. Maar als particulier consument verandert er aan de oppervlakte weinig.
Wel vind ik het belangrijk dat je weet wat je rechten zijn. Je hoeft dus niet langer bang te zijn dat je gegevens tot in lengte der dagen bekend blijven, als je vergeten wil worden is dat voortaan mogelijk. Ook de dataportabiliteit is iets waar je je voordeel mee kunt doen.