Dit kunt u verwachten van de nieuwe Europese privacywetgeving die geldt vanaf eind mei

Vanaf vrijdag 25 mei geldt in de hele Europese Unie dezelfde privacywetgeving. De Algemene Verordening Gegevensbescherming (AVG) komt dan in de plaats van de Wet bescherming persoonsgegevens (Wbp), die sinds 2001 van kracht was. Wat merkt u daarvan?

Kinderen van basisschool De Kubus gaan op schoolreisje. Beeld Marcel van den Bergh / de Volkskrant

Cookies 2.0?

Een aardverschuiving hoeven we niet te verwachten op 25 mei. ‘Consumenten merken er op korte termijn niet veel van, behalve dat bedrijven meer informatie gaan delen over privacy. Zij geven aan welke persoonsgegevens ze gebruiken en consumenten moeten expliciet laten weten of ze dat nog willen’, zegt Arnoud Engelfriet van juridisch adviesbureau ICTRecht. Het risico dat het de AVG net zo vergaat als cookies, die bedoeld waren om de privacy te waarborgen maar die het merendeel van de internetters achteloos wegklikken, is volgens Engelfriet dan ook ‘zeker aanwezig’. 

Zoals cookies bij iedere website opduiken moeten straks bijvoorbeeld sportclubs leden actief informeren over wat ze met hun gegevens doen. ‘Dat de thuisclub te horen krijgt wie er allemaal komen bij een uitwedstrijd; dat uitslagen op een website komen die de hele wereld kan lezen; en dat het bedrijf waar de club een Sinterklaas inhuurt informatie krijgt over wat de leden het afgelopen jaar hebben uitgevreten.’ 

Iedere keer dat er nieuwe informatie wordt gedeeld, vereist dat opnieuw uitleg. Toestemming is echter niet altijd nodig. Als organisaties en bedrijven kunnen uitleggen waarom hun marketingbelang zwaarder weegt dan het privacybelang van de leden, mogen ze informatie doorverkopen aan derden zonder toestemming te vragen. ‘Zo kan een sportvereniging de namen en adressen van leden verkopen aan bedrijven die gerichte reclame per post gaan sturen. Maar een bedrijf dat leden op internet in de gaten houdt, daaruit specifieke interesses afleidt en gedetailleerde profielen maakt en die doorverkoopt om persoonsgerichte reclame te sturen, komt niet weg met ‘commercieel belang’, en zal toestemming moeten vragen.’

Toestemming eenvoudig aan- en uitvinken

Een foto van een klassenuitje online op de website van de school? Elke leerling moet daarvoor eerst toestemming geven, net als onder de huidige Wet bescherming persoonsgegevens (Wbp). Bij kinderen onder de 16 verlenen ouders toestemming. 

Het verschil is dat scholen nu moeten kunnen aantonen dat zij toestemming hebben gekregen. Scholen moeten dat schriftelijk of digitaal bijhouden. ‘Daarin zal precies moeten staan wat het doel is van het delen van de foto’, zegt Job Vos, adviseur privacy bij Kennisnet, een stichting die scholen ondersteunt met ict. ‘Wil een school in een nieuwsbrief aan ouders vertellen hoe leuk de geitenboerderijexcursie was? Of zal de foto op sociale media worden gebruikt om de school te promoten?’ 

Moet dus straks voor elk uitje opnieuw een krabbel worden gevraagd? ‘Nee hoor, het moet wel praktisch blijven’, zegt Vos. ‘Maar je moet als ouder weten wanneer je kunt verwachten dat er foto’s worden gemaakt, bijvoorbeeld in de categorie schoolreisjes en excursies.’ Nieuw is ook dat het voor burgers net zo makkelijk moet zijn om de toestemming weer in te trekken als om die te verlenen. Vos: ‘Als ouder kun je in een schoolapp bijvoorbeeld eenvoudig de toestemming aan- en uitvinken. Het is belangrijk dat er niet alleen een hokje ‘ja’ is.’

Meer rechten

Het al bestaande recht op inzage, correctie en het vergeten van gegevens krijgt gezelschap van het recht op dataportabiliteit. Dat betekent dat consumenten hun gegevens mogen opvragen bij bedrijven om ze over te dragen aan een andere organisatie die dezelfde dienst levert, zoals een energieleverancier of telefoonaanbieder. Consumenten kunnen het bedrijf ook opdragen hun gegevens direct door te geven aan de concurrent. Het gaat niet alleen om persoonsgegevens: ook liedjes die zijn beluisterd via Spotify vallen hieronder of gegevens die zijn verstrekt door het gebruik van een sportapp, zoals hartslagmetingen en locatiegegevens. Dataportabiliteit geldt alleen voor digitale gegevens.

Gratis gegevens opvragen

Het was al mogelijk om bij sportverenigingen, scholen en bedrijven op te vragen welke informatie ze over je bewaren. Een belangrijk verschil is dat dit na de toepassing van de AVG gratis is. ‘Nu moet je een vergoeding betalen voor het aantal kopietjes of bijvoorbeeld per röntgenfoto. Straks mag dat alleen als er echt buitensporig veel kosten worden gemaakt om jou de gegevens te verstrekken, zoals voor dagenlang archiefonderzoek’, zegt Pauline Gras van de Autoriteit Persoonsgegevens (AP). 

Een organisatie heeft een maand om te reageren op het inzageverzoek en bij complexe zaken drie maanden. Arnoud Engelfriet: ‘De tekst van de AVG zit zo in elkaar, dat standaardargumenten als ‘u krijgt geen inzage want u bent geen betalende klant’ niet langer geldig zijn. Dat maakt het makkelijker voor de consument. Maar als niemand zijn gegevens gaat opvragen, gaan bedrijven ook niet investeren in een infrastructuur die het mogelijk maakt die gegevens snel inzichtelijk te maken.Een nieuwe wet is leuk en aardig, maar een verandering in gedrag krijg je alleen om er prikkel is.’

Er klopt iets niet – wat nu?

Ontdekt een consument een fout, bijvoorbeeld als een bedrijf gegevens te lang bewaart, dan heeft hij twee opties: melding maken bij de Autoriteit Persoonsgegevens of het bedrijf aanklagen. De autoriteit kan bij voldoende signalen een onderzoek instellen. Een rechtszaak vereist een wat langere adem en niet alle rechtsbijstandverzekeringen dekken dit. Engelfriet: ‘Maar je kunt wel een massaclaim indienen. Als de AVG een beetje loopt, verwacht ik dat er privacykwesties ontstaan en stichtingen als Privacy First en Bits of Freedom of nieuwe stichtingen namens iedereen die hier last van heeft naar de rechter stappen.’ 

Het kan daarbij gaan om een hack van een website, maar ook om de secretaris van de schaakvereniging die het clubblaadje naar alle 500 leden stuurt met hun e-mailadressen voor iedereen zichtbaar in de cc. ‘Onder de Wet bescherming persoonsgegevens stonden daar al stevige boetes op, maar die zijn nooit uitgedeeld omdat de Autoriteit Persoonsgegevens alleen een waarschuwing kon geven en met een dwangsom kon dreigen. Dat heeft bij veel bedrijven en instellingen het idee gewekt dat ze hun gang konden gaan omdat er toch niks zou gebeuren.’ Onder de AVG is dat verleden tijd: de autoriteit kan een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet opleggen. Maar, nuanceert Engelfriet: ‘Het ligt niet voor de hand dat het midden- en kleinbedrijf en kleine verenigingsleden meteen boetes gaan krijgen.’

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden