Nieuwe privacywet (GDPR): wat is er veranderd?

GDPR
Nieuwe privacywet (GDPR): wat is er veranderd?

Gepubliceerd: 17-5-2018

Laatste update: 24-08-2018

Mailtjes in je inbox over veranderende privacy-instellingen en grote banners op websites met een cookievraag: een bekend verhaal vanaf 25 mei 2018. Toen is in Europa namelijk een nieuwe privacywet ingegaan: de GDPR (General Data Protection Regulation). In het Nederlands vertaald als de Algemene Verordening Gegevensbescherming (AVG). Waarom is de wet er gekomen? En wat zijn de gevolgen?

Wat is de GDPR?

Een nieuwe privacywet, waar vier jaar lang over gesteggeld is. Op 14 april 2016 wordt de GDPR uiteindelijk door het EU-parlement goedgekeurd. De nieuwe verordening gaat 25 mei 2018 van kracht en legt een grotere nadruk op verantwoordelijke verwerking van gegevens. Organisaties moeten duidelijk maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken, en hoe lang deze data worden bewaard. Als dat niet gebeurt, mag de Autoriteit Persoonsgegevens (AP), het zelfstandige bestuursorgaan dat controleert of bedrijven en overheden zich aan de privacywetgeving houden, hoge boetes uitdelen. Vanaf 26 mei 2018 kan er bij hen een klacht worden ingediend. Deze worden allemaal in behandeling genomen. Daarnaast gaat de AP preventief bedrijven controleren.

De Autoriteit Persoonsgegevens ten tijde van de GDPR

De AP krijgt door de nieuwe wet meer verantwoordelijkheden en groeit daarom snel. De AP breidt uit van 75 naar ongeveer 150 medewerkers. Personeelsuitbreiding is ook nodig voor een goede samenwerking met Europa. Aleid Wolfsen is de voorzitter van de AP. Elk Europees land heeft een nationale toezichthouder, die op naleving van de wet toeziet.

GDPR_AP
Toenmalige minister van Veiligheid en Justitie Ard van der Steur (R) en toenmalige voorzitter van de Autoriteit Persoonsgegevens Jacob Kohnstamm geven een toelichting op de nieuwe bevoegdheden en de nieuwe naam van de autoriteit

Waarom is de wet er gekomen?

De GDPR vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze stamt uit 2001: een tijd waarin internet nog een minimale rol speelt. Tegenwoordig is handel in data big business en nieuwe omstandigheden vragen om een wet die daar beter bij aansluit.

De GDPR is het strenge antwoord van Europa op ongebreidelde datahandel en misbruik van persoonsgegevens. Neem bijvoorbeeld het gebruik van Facebookdata door het bedrijf Cambridge Analytica om de Amerikaanse presidentsverkiezingen te beïnvloeden.

Om manipulatie van verkiezingen, misbruik en diefstal van data in de toekomst te voorkomen, wordt de wet aangepast.

Wat is er veranderd?

De GDPR geeft consumenten meer grip op hun persoonsgegevens door een aantal rechten. Zo kun je informatie over welke gegevens van jou bij een organisatie bekend zijn kosteloos op vragen: het recht op inzage. Je kunt organisaties vragen je persoonlijke gegevens te verwijderen. Dit heet het recht op vergetelheid en was er al in de vorige wet, maar wordt uitgebreid: je kunt straks eisen dat alle partijen die jouw gegevens ontvangen hebben, deze moeten verwijderen. Je kunt bedrijven ook vragen al hun data van jou naar een andere aanbieder of organisatie te sturen: recht op dataportabiliteit. Dat kan bijvoorbeeld handig zijn als je overstapt naar een nieuwe provider, of als je je muziekvoorkeuren wil meenemen van Spotify naar Apple Music.

The data of Europeans will be the best protected data in the world

GDPR_VeraJourova

Afgekeurd bij een sollicitatie, maar komt de afwijzingsmail wel heel ongepersonaliseerd over? Je kunt met het recht geautomatiseerde besluitvorming een inzageverzoek eisen waarmee je kunt nagaan of het een automatisch besluit betreft. In dat geval kun je om een nieuw besluit vragen dat door een persoon moet worden beoordeeld. Dan heb je ook nog het recht op rectificatie en aanvulling, beperking van de verwerking, en het recht om bezwaar te maken tegen de gegevensverwerking. Je krijgt als consument dus meer macht over je eigen gegevens, en je moet eerst toestemming geven voordat er iets mee gedaan kan worden.

Een groot bedrijf zoals de NS werkt met tien man aan de nieuwe regels.

Wie moeten er maatregelen nemen?

Om aan de nieuwe wetgeving te voldoen, moeten organisaties, bedrijven en overheden maatregelen nemen. De nieuwe privacywet geldt namelijk voor alle bedrijven: van mkb’ers tot Google.

Je moet als organisatie duidelijk kunnen maken waarom je persoonsgegevens verzamelt, waarvoor je ze precies gebruikt, en hoelang je ze bewaart. Zowel grote als kleine bedrijven hebben hierin elk hun eigen uitdagingen. Een groot bedrijf zoals de NS werkt met tien man aan de nieuwe regels. Mkb’ers hebben echter zelden voldoende juridische expertise in huis en lopen achterop in de voorbereiding. Uit de Nationale Privacy Benchmark van 2017 blijkt dat 80 procent van Nederlandse bedrijven en overheden nog niet klaar zou zijn voor de wet. 60 procent weet zelfs niet waar gegevens van burgers of klanten opgeslagen liggen.

GDPR_stelling
Stelling: In hoeverre weet u waar de persoonsgegevens binnen uw organisatie worden gebruikt?

Stel, je verstuurt op regelmatige basis een (commerciële) nieuwsbrief naar klanten en potentiële klanten van wie je in een aantal jaar een bestand hebt opgebouwd. Hier worden persoonsgegevens direct voor marketingdoeleinden verwerkt. Volgens de regels van de GDPR zou dit betekenen dat je van alle emailadressen toestemming moet vragen: een opt-in-vereiste. Die nederige toon in mailtjes is dus geen marketingtruc: bedrijven en overheden hebben expliciete toestemming nodig als ze met je persoonsgegevens aan de slag willen gaan. Dat verklaart meteen waarom je al die mailtjes krijgt.

“Je moet echt afgestudeerd jurist zijn, wil je die teksten goed kunnen doorgronden”  

Sommige bedrijven moeten een Data Protection Officer (DPO) aanstellen: iemand die toeziet op de naleving van de privacyregelgeving in een organisatie. De GDPR stelt dit voor sommige bedrijven verplicht. Denk aan overheidsinstanties, publieke organisaties of organisaties ‘die vanwege aard of omvang op grote schaal persoonsgegevens verwerken’, zoals bedrijven die zich bezighouden met adverteren en direct marketing. Daar wordt namelijk gebruik gemaakt van profiling. Een profiel van gebruikers van websites wordt dan ingezet om producten gericht bij hen onder de aandacht te brengen. Een DPO is ook verplicht wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt. Dit zijn gevoelige gegevens over bijvoorbeeld iemands godsdienst, afkomst of politieke voorkeur.

Softwarebedrijf Crowded moet alles op alles zetten om te voldoen aan de nieuwe regels: het bedrijf verdient geld met het verzamelen van persoonsgegevens.

Voor kleine verenigingen of sportclubs is een DPO dus niet nodig, maar ook zij moeten zorgen dat ze aan de regels van de GDPR voldoen. Zo worden sportclubs geacht heel zorgvuldig om te gaan met alle adres- en persoonsgegevens van leden, en moeten zij toestemming hebben van alle ouders als ze foto’s van jeugdleden willen publiceren. Gegevens van leden die vertrokken zijn, moeten worden verwijderd.  

GDPR_KeepCalm
Ondanks de keuze om de EU te verlaten, zal het Verenigd Koninkrijk nog steeds volledig moeten voldoen aan de GDPR

Zorgaanbieders moeten kunnen aantonen dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens van patiënten te beveiligen. Op deze manier kan een datalek, zoals bij de tandarts in onderstaand fragment optreedt, sneller voorkomen worden. Als data verloren gaan bij een hack of lek, moet dat volgens de GDPR binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Is het waarschijnlijk dat het datalek resulteert in ongunstige gevolgen voor de privacy van de betrokkene, dan moet ook deze op de hoogte worden gesteld.

De zorg is koploper in het aantal datalekken. In 2017 melden zorginstellingen er ruim 3100.

Allergieën, religies, gescheiden ouders, cito-scores: vrijwel geheel ongemerkt beschikt een school over veel privacygevoelige informatie van leerlingen. Veel van die gegevens staan ergens opgeslagen in schoolsystemen of rapportages. De meest besproken vraag in de lerarenkamer: “Hoe gaan we om met foto’s van leerlingen?” Want bijna alle scholen hebben wel een Facebookpagina met foto’s: dit mag vanaf 25 mei 2018 niet meer zonder uitdrukkelijke toestemming van de ouders. Docenten moeten ook kunnen aantonen dat ze gevoelige gegevens niet mailen of uitwisselen op usb-sticks. Om aan deze verantwoordingsplicht te voldoen, moet een dataregister worden aangemaakt. Hierin wordt precies omschreven wie, wanneer, voor hoe lang, welke informatie bezit of bekijkt.

GDPR_EU
Vice-voorzitter Andrus Ansip en commissaris Vera Jourova op een persconferentie over de protectie van persoonsgegevens in Brussel

Wat zijn de gevolgen van de wet?

Wanneer je als bedrijf niet aan de nieuwe wet voldoet, heb je een probleem. De Autoriteit Persoonsgegevens kan bedrijven die de wet overtreden namelijk torenhoge boetes opleggen: bedragen tot wel 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet. Aleid Wolfsen, voorzitter van de privacywaakhond, zegt wel dat deze bedragen “niet bedoeld zijn voor de bakker, niet voor de slager”.

Grote bedragen zijn voor grote bedrijven

Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens

GDPR_FB
Een datacentrum van Facebook in Oregon, VS

Wanneer mensen bewust de wet overtreden met (gevoelige) persoonsdata, wordt hier niettemin sterk tegen opgetreden. “Anders neemt niemand de wet serieus”, aldus Wolfsen. Wanneer bedrijven kunnen aantonen dat ‘ze ermee bezig zijn’, dan zal de AP coulant omgaan met het bedrijf en slechts een waarschuwing geven. Niet meteen die boete van 20 miljoen dus. Ook de Tweede Kamer pleit bij het aannemen van het wetsvoorstel dat de AP niet te streng is bij het handhaven van de nieuwe regels. De AP gaat preventief bedrijven controleren en hierbij ligt de prioriteit bij grote bedrijven, zorginstellingen, overheidsbedrijven, bedrijven die aan datahandel doen en datalekken. Dat is nogal een lijst - de AP geeft zelf aan eigenlijk te weinig medewerkers en te weinig budget te hebben voor de grote controle die bij de grote aanpassingen hoort. De vraag blijft dus of toezicht en handhaving echt serieus aangepakt kan worden.

Sociale media
De GDPR heeft ook gevolgen voor sociale media. Bedrijven mogen namelijk alleen persoonsgegevens opslaan van kinderen boven de 16 jaar. Nu stellen Facebook, Instagram en Snapchat verplicht dat een ouder of een voogd toestemming geeft voordat tieners tussen 13 en 15 jaar de meest gepersonaliseerde versie van de sociale dienst kunnen gebruiken. Whatsapp omzeilt het toestemming vragen aan ouders door de leeftijdsgrens naar 16 jaar te verhogen. Ook Skype en Outlook kunnen (officieel) niet zo makkelijk meer worden gebruikt door jonge tieners. 

GDPR_Whatsapp

Wat is de e-privacyverordening?

Naast de GDPR heeft de Europese Commissie een voorstel voor een e-privacyverordening (EPV) gepubliceerd. Het voorstel moet echter nog worden goedgekeurd door het Europees Parlement en de Raad van Ministers en zal niet op 25 mei 2018 al van toepassing zijn. De EPV bevat regels die over de elektronische communicatie sector gaan: onder andere e-mail, cookies en telemarketing.

Meer weten? Kijk hier de aflevering terug.

Cookies mogen volgens de Cookiewet alleen worden geplaatst als daarvoor toestemming is gekregen: opt-in. Het gaat daarbij om actieve toestemming en er mag geen sprake zijn van een zogenaamde 'pre-ticked box'. Dus de opt-in mag niet standaard aan staan. De manier van toestemming vragen moet dus gaan voldoen aan de nieuwe eisen van de EPV: gebruiksvriendelijk en ondubbelzinnig. Zogenaamde ‘cookiemuren’ - zonder het accepteren van cookies, geen toegang tot website - worden verboden.

GDPR_NPOstart
Ook NPO Start neemt advertentiemaatregelen

Een cookie ‘an sich’ is geen persoonsgegeven. Het is een klein tekstbestand dat gebruikt wordt voor profiling. En profiling valt onder de GDPR. De EPV kan worden gezien als een correctie op het internet. Je ziet als consument namelijk advertenties naast je online Volkskrantartikel, maar je hebt niet direct het idee dat die advertenties betalen voor wat je zojuist hebt gelezen. Deze uitwisseling van waarden moet duidelijk worden door de EPV. De advertentiemarkt zal hierdoor (waarschijnlijk) veranderen. Wanneer je geen toestemming geeft dat je cookies gebruikt worden, kunnen advertentiebedrijven geen gebruik maken van profiling. Het gevolg: geen gepersonaliseerde advertenties meer. Je kan je afvragen of dat wenselijk is: je krijgt namelijk nog steeds advertenties te zien, maar ze zijn willekeurig in plaats van gepersonaliseerd. 

GDPR_werken

Waarom is er kritiek?

Geen grote aanpassing zonder kritiek. De nieuwe wet zou ‘doorslaan’ en kleine en middelgrote bedrijven, (digitale) start-ups en verenigingen onnodig in de problemen brengen. Voor veel bedrijven is het voldoen aan de GDPR namelijk een lang en ingewikkeld proces. Dit komt vooral door onduidelijkheden in de wet en te weinig voorlichting vanuit de overheid. Organisaties weten daardoor niet hoe ze te werk moeten gaan of wat de mogelijke gevolgen zijn van het niet naleven van de GDPR. En dit terwijl onwetendheid je duur kan komen te staan. De wet is dus niet helder, en ondertussen wordt er wel met enorme bedragen gedreigd.

Bepaalde diensten verdwijnen
De wet heeft ook nadelen voor consumenten. Zo vinden jongeren het vervelend dat ze sociale media niet zo makkelijk meer kunnen gebruiken. Ook verdwijnen sommige diensten voor Europeanen. Simpelweg omdat het voor de ontwikkelaars te veel moeite kost of niet haalbaar is om aan de nieuwe Europese regels te voldoen. Zo gebruikt bijvoorbeeld Unroll.me, een app waarmee je je kan uitschrijven van nieuwsbrieven, vanaf 25 mei een ‘Europa-muur’, waardoor je de app niet meer kan gebruiken in Europa.

GDPR_Unroll
Bron: iCulture

Oneerlijke concurrentie
Bedrijven vrezen voor oneerlijke concurrentie, zowel binnen als buiten de EU. Internationale bedrijven zoals Amazon of Alibaba weten niet zeker of zij vanuit de VS en China vanaf hun servers wel Nederlandse potentiële klanten kunnen benaderen zonder beboet te worden. Daarnaast zou de implementatie en handhaving van de wet per EU-land kunnen verschillen. Dit zou kunnen zorgen voor oneerlijke concurrentie binnen de EU, omdat sommige landen beter zijn voorbereid op de wet dan andere. 

GDPR_Mark
Facebook-topman Mark Zuckerberg moest zich na de controverse rondom Cambridge Analytica verantwoorden in de Amerikaanse Senaat.

Facebook past zich aan
Facebook heeft een opdracht: herhaling van een dataschandaal voorkomen. Omdat Facebooks internationale hoofdkantoor in Ierland staat, zal Facebook te maken krijgen met de Ierse privacytoezichthouder. 1,5 miljard gebruikers, uit Afrika, Azië, Australië en Latijns-Amerika, worden nu in plaats van Ierland ondergebracht in de Verenigde Staten. Zo vallen zij voortaan onder de, soepelere, Amerikaanse privacywetgeving. CEO Mark Zuckerberg zei voor de Senaat nog dat de ‘geest’ van de GDPR het uitgangspunt zou zijn voor Facebooks wereldwijde privacy-beleid. Toch verplaatst Zuckerberg voor de zekerheid dus de juridische verantwoordelijkheid voor niet-Europese gebruikers van Dublin naar het hoofdkantoor in de VS.

Facebook needs to do a much better job communicating with its users about privacy

David Kirkpatrick, journalist

Hoe gaat Facebook te werk?

Journalist David Kirkpatrick legt uit hoe Facebook informatie bezit waarvan adverteerders alleen maar van kunnen dromen, en hoe ze omgaan met privacy.

Journalist David Kirkpatrick legt uit hoe Facebook informatie bezit waarvan adverteerders alleen maar van kunnen dromen.

“Facebook needs to do a much better job communicating with its users about privacy”

Meer macht naar de giganten
Experts verwachten dat de digitale advertentiewereld zal gaan veranderen, omdat het voor giganten zoals Facebook en Google makkelijker is om toestemming te verkrijgen tot persoonsgegevens dan voor kleinere bedrijven die geen trouwe fanbase hebben. Elke dag geven klanten graag hun persoonlijke gegevens aan Google en Facebook om hun services te gebruiken. De bedrijven combineren diensten, denk bij Google aan de zoekmachine, gmail en Google Maps. Voor al die diensten is maar één keer toestemming nodig voor de bedrijven om alle gebruikersdata te kunnen gebruiken. Volgens eMarketer heeft het duopolie al 63 procent van de digitale advertentiemarkt in handen.

Velen denken dat GDPR, als een verordening voor consumentenbescherming, helpt om een deel van de grip die Google en Facebook hebben op de markt te doorbreken. Omdat meer adverteerders hun budgetten aan de giganten zullen besteden dan aan de kleinere uitgevers, is het echter net zo waarschijnlijk dat de gegevens van Google en Facebook nog waardevoller worden.

In het kort

  • De GDPR (General Data Protection Regulation) is een nieuwe Europese privacywet die ingaat op 25 mei 2018.

  • De nieuwe wet vervangt in Nederland de Wbp (Wet bescherming persoonsgegevens) en is bedoeld om manipulatie, misbruik en diefstal van persoonsgegevens te voorkomen.

  • Als consument krijg je meer macht over je persoonsgegevens: je moet eerst toestemming geven voordat er wat mee gebeurt en je hebt onder andere het recht op inzage en het recht om je gegevens te laten wissen.

  • Alle organisaties, groot of klein, moeten duidelijk maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken, en hoe lang deze data wordt bewaard.

  • De Autoriteit Persoonsgegevens (AP) is in Nederland de toezichthouder van de wet en kan zeer hoge boetes opleggen: tot wel 20 miljoen of 4 procent van de jaaromzet. 

  • Naast de GDPR is er een e-privacyverordening (EPV) gepubliceerd. Deze bevat regels die over de elektronische communicatie sector gaan: onder andere e-mail, cookies en telemarketing.

  • De nieuwe wet ontvangt veel kritiek vanwege onduidelijkheden, dreiging van hoge boetes, diensten die verdwijnen, oneerlijke concurrentie en meer macht naar grote bedrijven.  

En je weet het!

Anderen het laten weten?

Ook interessant

om te weten