Maandag 7 augustus 2017

De AVG: privacy opnieuw bekeken

Gegevensbescherming

De Europese Gegevensbeschermingsrichtlijn 95/46/EG stamt uit 1995 en was aan vervanging toe. Door de enorme toename van internetdiensten is er namelijk een groter belang voor burgers en ondernemingen dan ooit voor privacyregelgeving die up-to-date is. Tegenwoordig gebruiken veel internetdiensten zoals Facebook en Google de gegevens van hun gebruikers voor data analyse, waarmee onder andere beter afgestemde advertenties worden gemaakt. Dit houdt in feite in dat er sprake is van een op grote schaal verwerking van persoonsgegevens (bijvoorbeeld je naam, adres of woonplaats) en dit moet op een passende manier gereguleerd worden.

De huidige Nederlandse privacywetgeving, de Wet bescherming persoonsgegevens, is grotendeels een omgezette versie van de Europese richtlijn 95/46/EG. De lidstaten van de EU hebben deze oude richtlijn in verschillende mate uitgevoerd. Daarnaast was de oude richtlijn niet ingesteld op de grote mate waarin tegenwoordig persoonsgegevens worden verwerkt door onder andere ondernemingen. Hiervoor is nu één vervanger ontwikkeld, namelijk de Algemene Verordening Gegevensbescherming (hierna: AVG). De AVG zal vanaf 25 mei 2018 van toepassing zijn.

De AVG verplicht bedrijven en overheden om zorgvuldiger om te gaan met gegevens van hun gebruikers en geeft burgers meer rechten om over hun eigen privacy te waken.

Verwerkers van persoonsgegevens

Organisaties moeten onder de AVG kunnen aantonen dat ze de juiste maatregelen hebben genomen om aan de verordening te voldoen en dat zij de privacy van betrokkenen (dit zijn de personen waarvan de gegevens worden verwerkt) zorgvuldig in acht houden. Als Facebook besluit om gegevens van jouw profiel te gebruiken voor het maken van advertenties, zullen ze moeten aantonen dat ze maatregelen hebben genomen om die persoonsgegevens zorgvuldig te verwerken.

Om dit te bereiken zullen organisaties die van plan zijn persoonsgegevens te verwerken waarbij een privacy-risico bestaat voor de betrokkenen, verplicht worden om een privacy impact assessment (PIA) uit te voeren. Hiermee krijgt een organisatie voorafgaand aan de verwerking van persoonsgegevens inzicht in eventuele risico’s.

Ook zullen organisaties en overheidsinstanties die op grote schaal bijzondere persoonsgegevens verwerken of op grote schaal mensen volgen, verplicht worden een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is een interne toezichthouder op de verwerking van persoonsgegevens. Bijzondere persoonsgegevens, zijn gegevens die onder andere over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven gaan.

Bedrijven kunnen als ze zich niet aan de regels houden van de AVG worden gestraft met een boete van maximaal 2% van de jaarlijkse omzet. Dit kan voor de grote bedrijven tot in de miljarden euro’s lopen.

Betrokkenen

Organisaties moeten kunnen bewijzen dat ze toestemming hebben gekregen van de betrokkenen om gebruik te maken van hun persoonsgegevens. Ook moet het voor betrokkenen eenvoudig worden gemaakt om deze toestemming weer in te kunnen trekken.

Betrokkenen hebben het recht om een organisatie te verzoeken hun persoonsgegevens te verwijderen. Bovendien kunnen zij eisen dat de organisatie de verwijdering overbrengt aan andere organisaties die de gegevens van de eerste organisatie hebben verkregen.

Ten slotte kunnen betrokkenen voortaan eisen van de organisatie om hun persoonsgegevens in een standaardformaat te ontvangen. Zo kun je bijvoorbeeld jezelf makkelijk uitschrijven bij Facebook en inschrijven bij Instagram.

Conclusie

Met de nieuwe verplichtingen voor organisaties en aanvullende rechten voor betrokkenen is het duidelijk dat het privacyrecht een belangrijk onderwerp is binnen de EU. Van organisaties wordt meer zelfregulering verwacht en betrokkenen krijgen meer middelen om hun eigen privacy te handhaven. Hoeveel bedrijven zich zullen houden aan de nieuwe regels en hoeveel burgers gebruik zullen maken van hun nieuwe rechten zal nog moeten blijken. Ongetwijfeld zullen er in de eerste periodes na het ingaan van de AVG, een aantal hoge boetes worden uitgedeeld om zo een duidelijke statement te maken. Daarentegen zullen er weinig burgers optreden tegen het gebruik van hun gegevens. Maar naarmate de bewustwording over de waarde van hun persoonsgegevens groeit, zullen meer mensen moeite hebben met de onbegrensde verwerking en verhandeling ervan.

In ieder geval is er nu zicht op privacyregelgeving die up-to-date is, die beter past bij het digitale tijdperk, en een duidelijke lijn zet in heel Europa.

Bronnen:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/europese-privacywetgeving#wanneer-moet-ik-straks-een-fg-aanstellen-5582

Kroeks-de Raaij, Westerdijk, Zwenne, Tijdschrift voor internetrecht, nr. 2 6-2016, p.50-58. mr. C.C.M. Kroeks-de Raaij, mr. R.J.J. Westerdrijk, prof. mr. G.J. Zwenne, ‘De Algemene Verordening Gegevensbescherming’.

De Vries, Goudsmit, Nederlands Juristenblad, nr. 2016/1077, aflevering 22 (1071-1125), mr. H. de Vries, M. Goudsmit, ‘Voorsorteren op de Algemene Verordening Gegevensbescherming’.

De Jong, Ars Aequi, 2016/10, pg. 770-773, mr. dr. J.P. de Jong, ‘de Algemene Verordening Gegevensbescherming’.

(168)