Algemene Verordening Gegevensbescherming: nieuwe wetgeving sinds mei 2018

  1. Home
  2. Handboek
  3. Algemene Verordening Gegevensbescherming

Een nieuwe privacywetgeving

Op 25 mei 2018 is de nieuwe privacywetgeving van de EU in werking getreden, de zogenaamde General Data Protection Regulation (GDPR). Ongeveer vijf jaar hebben EU-commissies gewerkt aan deze hervorming van de privacywetgeving die in heel Europa geldig is. Eerder gold nog de privacyrichtlijn uit 1995 (Databeschermingsrichtlijn 95/46/EG), maar de technologische veranderingen in de afgelopen decennia hebben een herziening van de privacywetgeving onvermijdelijk gemaakt – het internet stond in 1995 immers nog in de kinderschoenen. Privacywetgeving in de EU heeft inmiddels ook invloed op bijvoorbeeld big data, industrie 4.0, robotica en kunstmatige intelligentie – een vernieuwing van de bepalingen was dus dringend noodzakelijk. En in mei 2018 was het zover.

De Algemene Verordening Gegevensbescherming (AVG), zoals de GDPR in Nederland heet, heeft met name één doel: de omgang met gegevens in heel Europa uniform regelen. Voor bedrijven leidt dat tot twee vragen: Welke nieuwe bepalingen zijn er? En waar moeten bedrijven en websitebeheerders op letten? Want sinds de verordening op 25 mei in werking is getreden, is er ook het een en ander veranderd voor de online handel en de gegevensbescherming van werknemers van bedrijven. Wanneer je dus nog niets hebt ondernomen om je aan te passen aan de Europese privacywetgeving, ben je eigenlijk al te laat. Wij geven je hieronder een samenvatting van de nieuwe wetgeving en vatten in een AVG-checklist samen welke maatregelen je al had moeten treffen.  

Privacy is een hot topic, veel gebruikers houden veilige apps en sites dan ook hoog in het vaandel. Eerder schreven we al over veilige alternatieven voor whatsapp en facebook.


Urgentie: de AVG is geen richtlijn, maar een verordening

Wetten doorlopen op Europees niveau doorgaans een lange weg – zelfs nog nadat ze al officieel in werking zijn getreden. Wanneer een nieuwe EU-richtlijn na lang debatteren in het Parlement in Brussel wordt aangenomen, worden er voor de 28 lidstaten vaak royale overgangstermijnen vastgesteld om de wet in de nationale rechtspraak over te nemen. Er kan dus veel tijd verstrijken voordat individuele bedrijven daadwerkelijk onder tijdsdruk komen te staan om aan de nieuwe richtlijnen te voldoen.

Naast richtlijnen bestaat er echter ook een andere soort EU-wetgeving: verordeningen. Die bieden nauwelijks speelruimte qua inhoud en tijd. Ze zijn direct voor alle staten uniform juridisch bindend – dit geldt ook direct voor kleine bedrijven en zzp'ers. Dat is ook zo in het geval van de AVG: het is geen richtlijn, maar een verordening.

In mei 2016 trad de privacywetgeving van de EU in werking met een overgangstermijn van twee jaar en sinds 25 mei 2018 geldt deze wetgeving in alle EU-lidstaten als officiële privacywetgeving die boven de nationale wetgeving staat. Dat betekent: geen verdere overgangstermijnen meer. Alle bedrijven en overheidsorganen die werken met persoonsgegevens moeten onmiddellijk de nieuwe bepalingen van de EU omtrent gegevensbescherming uitvoeren.

Van deze urgentie van de AVG leken Nederlandse bedrijven zich in eerste instantie wel bewust te zijn: in het najaar van 2017 meldden veel ondernemingen in een onderzoek van de brancheorganisatie voor data- en marketingbedrijven (DDMA) dat ze dachten goed op schema te liggen wat betreft de invoering van gewijzigde processen en beleid omtrent de nieuwe privacywetgeving. Toch meldde het NRC een maand voor het ingaan van de GDPR dat de meeste bedrijven niet op tijd klaar zouden zijn voor de nieuwe wetgeving.

Nu is het zover en de situatie lijkt inderdaad minder rooskleurig dan menig Nederlandse ondernemer had ingeschat. Uit onderzoek van de Consumentenbond net na de invoering van de nieuwe privacywet bleek dat twee derde van de 150 onderzochte websites in Nederland de nieuwe privacywet nog steeds overtrad. En dit komt overeen met de trend wereldwijd: in september 2018 bleek uit een internationaal onderzoek van het databedrijf Talend SA dat zeker 70% van de onderzochte bedrijven na 25 mei 2018 nog niet aan alle eisen voldoen. Ook al had 98 procent hun beleid wat betreft dataprivacy wel aangepast, de meesten konden bijvoorbeeld nog niet voldoen aan de eis om data binnen 30 dagen na verzoek aan te leveren aan de gerechtigden.

De reden voor zulke nalatigheid is niet altijd louter ontkenning: volgens de Duitse instanties Forsa en Bitkom vormen de rechtsonzekerheid en de bewerkelijkheid die komt kijken bij het implementeren van de AVG ook grote hordes. De DDMA noemde eerder al dat bedrijven vooral struikelen over de capaciteit, tijd en kennis die er nodig is voor overgang op een volledige naleving van de regels. Veel partijen vinden bovendien de nieuwe eis om bij elke uitwisseling van gegevens eerst concreet toestemming te krijgen, en die ook te kunnen bewijzen, onuitvoerbaar. Zo zou zelfs het afgeven van een visitekaartje kunnen ontaarden in een juridisch probleem.

Citaat:

“Bij een strikte juridische interpretatie zou men op dit moment, wanneer een bedrijf een visitekaartje aanneemt, de betrokkene exact moeten informeren wat er met diens gegevens zal gebeuren.”

- Susanne Dehmel, Bitkom

Nu dreigen hoge boetes: de strafmaatregelen voor bedrijven kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van het afgelopen bedrijfsjaar. Met name autoriteiten nemen het thema ‘gegevensbescherming’ zeer serieus. Daarnaast is het beboeten van overtredingen een lucratieve bezigheid – de eerste, incidentele kwesties hebben zich reeds voorgedaan. In Nederland zijn er sinds de invoering van de nieuwe privacywet al veel klachten en meldingen binnengekomen bij de Autoriteit Persoonsgegevens over mogelijke schendingen van de nieuwe privacywetgeving.

Toch pleit Minister Sander Dekker voor Rechtsbescherming voor een coulantere houding tegenover kleine organisaties, omdat deze meer moeite zouden hebben met de overgang en met iets minder grootschalige consequenties te maken hebben. Zij moeten daarbij de veranderingen vaak met aanzienlijk minder personeel verwezenlijken en kunnen zich meestal geen dure adviezen van advocatenkantoren en andere juridisch specialisten veroorloven. Dergelijke adviseurs zullen in deze overgangsfase flink van de AVG gaan profiteren, zelfs als de door sommige juristen sinister voorspelde “boetegolf” verder zou uitblijven.


Doel van de GDPR: Europese standaardisatie van gegevensbescherming

Het belangrijkste doel van de Algemene Verordening Gegevensbescherming is de standaardisatie van de Europese gegevensbescherming. Werd de privacyrichtlijn van 1995 die op EU-niveau van kracht was nog in elke EU-lidstaat verschillend uitgevoerd, de nieuwe verordening geeft weinig speelruimte voor nationale autonomie.

Een tweede doel van de AVG heeft betrekking op de enorme technologische veranderingen in de afgelopen 25 jaar – en de nog komende technische ontwikkelingen. Veel uitdagingen wat betreft de gegevensbescherming liggen immers nog voor ons. Een voorbeeld: de registratie van biometrische gegevens van medewerkers is voor bepaalde werkzaamheden met intelligente machines absoluut noodzakelijk. Wanneer een bedrijf zorgvuldig omgaat met dergelijke gegevens is er nog geen sprake van een probleem. Maar als deze informatie eenmaal bij de werkgever komt, bestaat ook de verleiding deze gegevens te gebruiken voor andere doeleinden – bijvoorbeeld voor het controleren van prestaties. Ook op dit soort ontwikkelingen moet de nieuwe Europese privacywetgeving reageren.


Inhoud van de AVG: beproefde principes uitbreiden

Een samenvatting van de Algemene Verordening Gegevensbescherming moet allereerst ingaan op de veranderingen die verband houden met persoonsgegevens. Op dit gebied hebben immers de grootste wijzigingen plaatsgevonden als gevolg van de Europese privacywetgeving. Hoewel niet in de mate zoals aanvankelijk was gepland, is de bescherming van gegevens van privépersonen met de AVG duidelijk versterkt. Een hele rij paragrafen is bedoeld om het verzamelen van persoonsgegevens inzichtelijk en adequaat te reguleren.

Zo is bijvoorbeeld de verantwoordingsplicht van bedrijven (accountability) uitgebreid: nu gelden er uitgebreidere documentatie- en bewijsplichten over welke gegevens een bedrijf verzamelt, voor welk doel ze worden gebruikt en hoe ze verder worden verwerkt. Wat dat betreft betekent de Algemene Verordening Gegevensbescherming vooral monnikenwerk bij de documentatie. Bedrijven die al belang hechtten aan gegevensbescherming en een lijst hebben bijgehouden van de gegevensverwerkingsmethoden hebben aanzienlijk minder moeite met de uitvoering van de verordening.

In totaal bevat de AVG echter nergens een fundamentele nieuwe invulling van gegevensbescherming – de reeds bekende principes wat betreft gegevensbescherming blijven voornamelijk geldig en worden door de Algemene Verordening Gegevensbescherming voortgezet. Ze vormen de basis voor de nieuwe bepalingen, maar zijn duidelijker en zorgvuldiger geformuleerd en uitgebreid. De belangrijkste van deze principes zijn:

  1. Verbod behoudens toestemming: dit principe houdt in dat elke verwerking van persoonsgegevens in principe verboden is, tenzij hiermee expliciet is ingestemd. Dit was voorheen ook al zo en is niet onomstreden. Het verbodsprincipe geldt conform de AVG echter zonder uitzondering voor alle gegevens die betrekking hebben op personen.
  2. Doelbinding: bedrijven mogen gegevens alleen verzamelen en verwerken met een bepaald doel. Daarvoor moeten aan het begin van het verzamelen de doelen zorgvuldig worden geformuleerd en het toekomstige gebruik van de gegevens moet worden gedocumenteerd. Een voorbeeld uit de praktijk: gegevens die een bedrijf heeft verzameld en terecht heeft opgeslagen voor het nakomen van een overeenkomst mogen niet worden gebruikt voor reclamedoeleinden. Dat is een ander doel dat een aparte rechtvaardiging behoeft. Veranderingen van het doel naderhand zijn slechts onder bepaalde voorwaarden toegestaan.
  3. Minimale gegevensverwerking: het principe van minimale gegevensverwerking vereist dat bedrijven zo weinig mogelijk gegevens verzamelen. Er geldt: zo weinig mogelijk, zo veel als nodig is. Er mag niet meer worden verzameld dan noodzakelijk is voor de uitvoering van het doel. Daarmee verbiedt dit principe het bij voorbaat “blind” verzamelen van gegevens.
  4. Transparantie: de verwerking van gegevens moet inzichtelijk zijn voor de betrokkenen. Dat vereist enerzijds begrijpelijke privacyverklaringen, anderzijds krijgen gebruikers met de vernieuwingen van de AVG omvangrijke rechten: net als tot nu toe moeten bedrijven desgevraagd meedelen over welke gegevens ze beschikken en hoe ze die gebruiken.
  5. Vertrouwelijkheid: bedrijven moeten ervoor zorgen dat ze de persoonsgegevens van hun klanten technisch en organisatorisch beschermen – tegen onbevoegde verwerking of verandering, tegen gegevensdiefstal of vernietiging. De uitdrukkelijke plicht om technische beveiligingsmaatregelen te nemen is nieuw. Toch zijn deze maatregelen in de Algemene Verordening Gegevensbescherming niet exact geformuleerd en bieden ze interpretatieruimte. In het geval van gegevensdiefstal komt het erop aan of de technische en organisatorische beveiligingsmaatregelen passend waren bij het risico en de aard van de opgeslagen gegevens.

Betrokken partijen bij de GDPR: bedrijven en functionaris voor de gegevensbescherming (FG)

Uiteindelijk is de GDPR goed nieuws voor elke gebruiker en betrokkene van gegevensverwerking. Zij worden immers extra beschermd door de GDPR. Bovendien zijn de regels van de verordening ook van toepassing op de rechten van werknemers.

Deze reglementen zijn relevant voor alle bedrijven die medewerkers in dienst hebben. Wat dat betreft gaat het talloze bedrijven aan: met het oog op de privacy van hun werknemers (werknemersprivacybescherming) en met betrekking tot klanten, leveranciers en websitebezoekers.

De AVG is natuurlijk bijzonder relevant voor de beroepsgroep van functionarissen voor de gegevensbescherming. Hun aantal zal in heel Europa door de AVG aanzienlijk stijgen. Vanaf nu moeten in Europa immers alle overheidsorganen en bedrijven van wie de kerntaken betrekking hebben op het gebruik van persoonsgegevens een functionaris voor de gegevensbescherming (FG) aanstellen. Zelfs wanneer de kernactiviteit geen betrekking heeft op gegevensverwerking moet een FG worden aangesteld als er in het bedrijf ten minste tien personen regelmatig bezig zijn met de geautomatiseerde verwerking van persoonsgegevens. Dat zou kunnen gelden voor talrijke mkb-bedrijven.

Ook voor functionarissen voor de gegevensbescherming die reeds in een bedrijf zijn aangesteld, betekent de Algemene Verordening Gegevensbescherming een grote verandering. Hun rol in het bedrijf verandert immers fundamenteel: waar de FG tot nu toe zou aansturen op de conformiteit van gegevensbescherming is hij nu verantwoordelijk voor de controle van de maatregelen. Daarmee breidt zijn taakgebied uit en stijgt ook zijn potentiële aansprakelijkheid.

Voor FG’s betekent de nieuwe verordening dus veel werk: ze moeten zich gedetailleerd inwerken in de nieuwe wetgeving. Toch heeft de nieuwe wet voor hen ook positieve kanten: hun expertise zal in de komende tijd zeer veel gevraagd zijn en aan de extra werkzaamheden is ook een opwaardering van hun positie in het bedrijf verbonden.

Hieronder geven wij een samenvatting van de Algemene Verordening Gegevensbescherming, waarbij met name wordt ingegaan op de vernieuwingen in de AVG voor websitebeheerders en bedrijven.


Gevolgen van de AVG I: bedrijven opgepast

Ook al is de bescherming van persoonsgegevens niet fundamenteel vernieuwd, de Europese privacywetgeving brengt in detail toch veel veranderingen met zich mee. Daar moeten bedrijven absoluut rekening mee houden en een zorgvuldige omgang met persoonsgegevens al bij het opstellen van werkstromen integreren in hun workflow (principe van privacy by design). Anders schenden ze het Europese recht. Hier volgen de belangrijkste nieuwe bepalingen waarop bedrijven – met name op het gebied van online handel – moeten letten.

Algemene databeveiliging in bedrijven

  • Effectbeoordeling gegevensbescherming (data protection impact assessment, DPIA): bedrijven zijn verplicht om risicoanalyses uit te voeren. Ze moeten bovendien vastleggen welke maatregelen ze nemen om risico’s te verkleinen. In het bijzonder als een bedrijf met cloud computing werkt, is deze bepaling relevant. Bij cloud computing wordt immers vaak gewerkt met grotere hoeveelheden persoonsgegevens. Nog sterker hiermee te maken hebben bedrijven die gezondheidsgegevens opslaan die gelden als zeer gevoelig en waarbij een verspreiding van gegevens voor de betrokkenen zeer zwaar weegt.
  • Werknemersgegevens: een graadmeter is ook hoe een bedrijf de gegevens van werknemers verwerkt. De desbetreffende regelgevingen in de AVG betreffen dus ook de Human Resources die bij de veranderingen moeten worden betrokken.
  • Functionaris voor de gegevensbescherming (FG): voor veel bedrijven is een FG voortaan verplicht. Die controleert de individueel uitgewerkte privacystrategie en de conformiteit met de AVG. Dat gaat niet alleen om bedrijven die met veel persoonsgegevens werken. Elk bedrijf waarbij meer dan 10 personen regelmatig te maken hebben met persoonsgegevens moet voortaan een FG benoemen.
  • Meldplicht: de nieuwe normen die in de AVG worden gesteld aan de aanpak van datalekken zijn aanzienlijk strenger dan in de tot nog toe geldende richtlijnen. Veiligheidsincidenten moeten binnen 72 uur na bekendwording worden gemeld, in twijfelgevallen zowel aan de betrokken personen alsook aan de verantwoordelijke autoriteiten.
  • Verantwoordelijkheid en boetes: bedrijven kunnen voortaan eenvoudiger verantwoordelijk worden gesteld voor schendingen in de omgang met de door hen verzamelde gegevens. Dat behelst ook hoge geldboetes.

Veiligheid persoonsgegevens

  • Documentatieplicht: een focusgebied van de Algemene Verordening Gegevensbescherming is de verantwoordingsplicht van bedrijven, ook wel accountability genoemd. Anders dan voorheen zijn bedrijven verplicht om door middel van eigen documentatie aan te tonen dat ze voldoen aan de wet- en regelgeving op het gebied van privacy (compliance). Ze moeten aan de autoriteiten te allen tijde door overlegging van de desbetreffende lijsten kunnen aantonen welke gegevens voor welke doeleinden zijn opgeslagen, hoe ze worden verwerkt en wanneer het bedrijf ze wist.
  • Privacy by design: het principe van privacy by design houdt in dat bedrijven al bij de technische opzet van hun bedrijfsprocessen rekening moeten houden met gegevensbescherming. Ze mogen maatregelen ter bescherming van gegevens technisch niet pas naderhand (dus achteraf) implementeren, maar moeten ze al in de voorbereidingsfase integreren in het arbeidsproces. Producten en processen moeten dus zo worden ontworpen dat ze zo min mogelijk persoonsgegevens vereisen.
  • Privacy by default: deze bepaling uit de Algemene Verordening Gegevensbescherming schrijft voor dat in principe de technische standaardinstelling de meest privacy-vriendelijke variant moet zijn. Dat voorkomt dat verbruikers zich door ingewikkelde technische instellingen moeten worstelen om de verwerking van hun gegevens te beperken.
  • Toestemmingsgrondslagen (toestemming, bedrijfsovereenkomst): ook moeten individuen voortaan in de meeste gevallen uitdrukkelijk toestemming geven voor het gebruik van hun persoonlijke gegevens. Daarnaast is de toestemming van werknemers of verbruikers alleen geldig voor het gespecificeerde gebruiksdoel. Bovendien moet de toestemmingsverklaring begrijpelijk zijn geformuleerd en in principe kunnen worden herroepen. Herroepen moet voor klanten net zo eenvoudig zijn als het geven van toestemming. De eisen die de AVG stelt aan een geldige toestemming zijn toegenomen. Een grove onevenwichtigheid tussen de betrokkenen kan de vrijwilligheid ook uitsluiten, zoals de koppeling van de mededeling aan de afsluiting van de overeenkomst.
  • Wissen van gegevens: persoonsgegevens mogen slechts worden opgeslagen zolang dat noodzakelijk is voor het doel. Wanneer de verwerkingsbevoegdheid vervalt (bijv. omdat de toestemming is herroepen of de overeenkomst is uitgevoerd), moeten de gegevens worden gewist.
  • Informatierecht en recht op wissen: EU-burgers hebben het recht om desgevraagd te weten te komen over welke gegevens van hen een bedrijf beschikt en hoe het die gebruikt. Bovendien kunnen gebruikers bij bedrijven eisen dat hun gegevens worden gewist. Dit “recht op vergetelheid” moet dan worden nageleefd, ook door grote concerns zoals Google, en links naar persoonsgebonden informatie moeten desgevraagd uit de resultaten van de zoekmachine worden verwijderd.

Gevolgen van de AVG II: websitebeheerders opgelet

De Algemene Verordening Gegevensbescherming bevat nauwelijks expliciete reglementen voor de online handel. De verordening formuleert voornamelijk algemene principes van gegevensbescherming waarvan deelsectoren in andere wetten en verordeningen worden geregeld. Toch leveren de abstracte normen van de AVG ook voor de online handel enkele vernieuwingen op. Meer daarover kun je lezen in de beide volgende paragrafen.

Dit blijft (voorlopig!) hetzelfde

Om te beginnen met het belangrijkste: naast de reeds genoemde reglementen voor bedrijven houdt de AVG voor de online handel voorlopig verhoudingsgewijs weinig veranderingen in. De centrale thema’s voor websitebeheerders – cookies, user tracking, spam en direct marketing – worden vermoedelijk pas in 2019 opnieuw gereguleerd.

Op dit moment gelden voor websitebeheerders de algemene grondbeginselen uit de databeschermingsrichtlijn 95/46/EG. De algemene reglementen zullen ook gelden voor websites, big data en social media. Ook het gebruik van cookies, tracking tools en targeting moet in overeenstemming zijn met de AVG.

In elk geval is de AVG tot op zekere hoogte een tussenoplossing; aanvankelijk zou samen met de Algemene Verordening Gegevensbescherming nog een andere nieuwe bepaling wat betreft databescherming in werking treden: de ePrivacy Verordening (EVP) van de EU. Inmiddels gaat men ervan uit dat er op zijn vroegst begin 2019 overeenstemming zal worden bereikt over de conceptverordening. Het ligt namelijk niet in de verwachting dat de Europese Raad de verordening zonder slag of stoot zal aannemen; het concept voorziet in een strenge toestemmingseis voor cookies. Wanneer dit concept wetgeving zou worden, zou dit verregaande gevolgen hebben voor tracking, targeting en gepersonaliseerde reclame. Welke veranderingen daadwerkelijk in de loop van het wetgevingsproces zullen worden doorgevoerd, is nog onbekend. Daarom is het op dit moment te vroeg om concrete voorstellingen te hebben van de ePrivacy Verordening.

Toch moeten websitebeheerders en online handelaars de ePrivacy Verordening absoluut in de gaten houden. In tegenstelling tot de GDPR, die de grondbeginselen van het privacyrecht regelt, zal de ePrivacy Verordening immers betrekking hebben op een zeer specifiek gebied: het beschermen van de privacy in het digitale dagelijks leven. Hier staan websitebeheerders dus verdere nieuwe bepalingen te wachten.


Dit is er veranderd

Maar wat is er dan echt veranderd in mei 2018 met de privacywetgeving van de EU? De belangrijkste veranderingen voor websitebeheerders zijn:

  1. De omvangrijke documentatieplicht van de GDPR
  2. De complexere toestemmingsomschrijving
  3. De grondbeginselen van privacy by design en privacy by default
  4. Uitgebreide informatierechten en het recht op vergetelheid
  5. Het recht op gegevensoverdraagbaarheid
  6. Aanzienlijk omvangrijkere informatieplichten (bijv. voor de privacyverklaring van een website)
  7. Het koppelingsverbod bij toestemming
  8. Zeer hoge geldboetes

Enkele van deze punten hebben wij in de bovenstaande paragrafen al verduidelijkt. De thema’s privacyverklaring en koppelingsverbod worden hieronder toegelicht. Ze gaan immers hoofdzakelijk websitebeheerders aan.

Feit!

Er moet strikt onderscheid worden gemaakt tussen toestemming van de privacyvoorwaarden
en de privacyverklaring. De toestemming van een gebruiker – noodzakelijk voor elke verwerking
van gegevens die niet is toegestaan door een rechtsnorm – houdt de actieve bevestiging
in van een gebruiker dat deze instemt met de privacyvoorwaarden van een bedrijf.
De privacyverklaring is de tekst waarin een bedrijf zijn klanten uitlegt welke
maatregelen het treft voor de bescherming van gegevens en is verplicht op elke website.

De belangrijkste vernieuwingen van de GDPR voor websitebeheerders zijn de voorwaarden voor de privacybepalingen. Art. 13 lid 2 van de GDPR bevat een uitvoerige informatiecatalogus die een privacyverklaring moet bevatten. Ook de vorm van een privacyverklaring wordt in de verordening duidelijker geregeld: de verklaring moet in begrijpelijke taal en inhoudelijk navolgbaar zijn opgesteld. Transparantie staat bij de GDPR voorop.

Citaat:

“De verwerkingsverantwoordelijke neemt passende maatregelen, opdat de betrokkene alle informatie […] in verband met de verwerking van persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm in duidelijke en eenvoudige taal ontvangt.” (Arceringen door de auteur)

- Art. 12 lid 1 van de AVG/GDPR over de eisen aan privacybeschermingsbepalingen

In het koppelingsverbod zien experts de grootste beperking die de Algemene Verordening Gegevensbescherming vormt voor de netwerkeconomie. Volgens het koppelingsverbod mag een websitebeheerder zijn potentiële klanten niet meer verplichten om gegevens af te staan die voor de eigenlijke dienst niet noodzakelijk zijn. Een voorbeeld: wanneer met het tot stand komen van een overeenkomst tegelijk de aanmelding van een online nieuwsbrief wordt vereist, schendt men het EU-recht. Het heersende principe van toestemming is de vrijwilligheid. Bij veel gekoppelde toestemmingen kon die echter ontbreken. De zo verkregen toestemmingen zijn zodoende ongeldig.

Citaat:

“Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.” (Arceringen door de auteur)

- Art. 7 lid 4 van de AVG/GDPR over het koppelingsverbod

Tot slot nog eenmaal de tip: let absoluut op de veranderingen wat betreft documentatieplichten, toestemmingsgrondslagen, opslag, informatierechten en het recht op vergetelheid. In individuele gevallen kunnen ook andere nieuwe bepalingen websitebeheerders en bedrijven aangaan.


Maatregelen: AVG-checklist voor bedrijven en websitebeheerders

Wanneer je wilt beginnen met de uitvoering van de nieuwe Europese privacywetgeving geldt allereerst: de vereiste maatregelen zijn per bedrijf verschillend. Toch is er een lijst met voorzorgsmaatregelen waar elk bedrijf rekening mee moet houden. Wij hebben ze in een AVG-checklist voor je op een rijtje gezet.

  • Zet documentatieprocessen op voor de omgang met persoonsgegevens.
  • Maak een lijst met de verwerkingsactiviteiten.
  • Richt communicatieroutes in voor klantaanvragen over gegevensbescherming.
  • Controleer of je een functionaris voor de gegevensbescherming moet aanstellen.
  • Pas de privacyverklaring op je website aan op de nieuwe bepalingen.
  • Overleg met het hoofd van je technische afdeling en met de functionaris voor de gegevensbescherming of de actuele technische maatregelen voor de privacybescherming voldoende zijn. Eventueel moeten extra maatregelen worden voorbereid of bestaande maatregelen beter in de IT-infrastructuur worden geïntegreerd.
  • Alle verzamelde persoonsgegevens die het koppelingsverbod schenden, moeten voortaan anders worden ingewonnen en als vrijwillig doorgegeven gegevens worden verzameld.
  • Wanneer je opdracht hebt gegeven aan een externe dienstverlener om persoonsgegevens voor je bedrijf te beheren, moet je duidelijk met deze dienstverlener afspreken of de gesloten overeenkomsten conform de hervorming van de privacybescherming zijn. Pas de overeenkomsten eventueel op de nieuwe voorwaarden aan.
  • Controleer hoe je in je webshop de toestemmingen van de klanten wilt inwinnen en pas de werkwijze op de bepalingen van de AVG aan.
  • Houd de ePrivacy Verordening in de gaten; die zal binnenkort bepalen hoe online handelaren omgaan met analyse- en trackingtools.
  • Win professioneel advies in als je niet zeker bent van je zaak.

Reacties op de GDPR: lof en kritiek

De teneur uit politieke hoek was bij de aanvaarding van de Algemene Verordening Gegevensbescherming, ondanks individuele kritiekpunten, over het algemeen positief. De verordening is er immers om “voor bedrijven en organisaties de manier waarop we omgaan met persoonsgegevens beter te regelen. De wet beoogt niet om zaken in te krimpen”, aldus Minister Dekker. Hij benadrukte bovendien dat de wet “geen grote aardverschuiving” is, omdat het ten opzichte van de oude wetgeving in de basis niet zo gek veel verschilt.

Toch is er veel onrust geweest rondom de invoering: de Autoriteit Persoonsgegevens vreesde al voor het ingaan van de GDPR dat er niet genoeg geld zou zijn om alle verzoeken in verband met de nieuwe wet aan te kunnen. Bovendien heerste er grote verwarring over hoe de wet moest worden geïmplementeerd, onder andere bij kleine verenigingen en (kerk-)gemeenschappen. Over het algemeen ziet men volgens Dekker echter “beren op de weg die er niet zijn” als het aankomt op de consequenties van deze wetgeving, mede ook vanwege de eerdergenoemde coulantere houding tegenover kleine organisaties. Het Nederlandse bedrijfsleven leek in eerste instantie ook over het algemeen positief tegenover de AVG te staan.

Citaat:

“We betreuren dat een groot deel van de ambitie van het oorspronkelijke databeschermingspakket verloren is gegaan als gevolg van een van de grootste lobbycampagnes in de Europese geschiedenis. Wij feliciteren echter het Europees Parlement, en in het bijzonder het succesvolle Luxemburgse voorzitterschap van de EU vorig jaar, met het bewaren van de essentie van de Europese wetgeving inzake gegevensbescherming.”

- Joe McNamee, Executive Director van European Digital Rights


Gevolgen van de GDPR tot nu toe voor bedrijven en consumenten

Over de mogelijke consequenties van de Algemene Verordening Gegevensbescherming wordt al jaren stevig gediscussieerd. Sinds 25 mei 2018 lijken zowel enkele van de positieve als negatieve verwachtingen uit te komen. Hier vind je daarom een kort overzicht van de afgelopen ontwikkelingen die verband houden met de AVG en betrekking hebben op bedrijven en/of consumenten.

Niet gerealiseerde uitvoering drukt op het mkb

Uit verschillende onderzoeken blijken nu veel Nederlandse bedrijven niet voorbereid op de uitvoering van de Algemene Verordening Gegevensbescherming. Met name kleine en middelgrote bedrijven hebben grote achterstanden. Die kunnen in theorie gevolgen hebben voor hun economische prestaties; er zijn op dit moment echter nog geen exacte statistische gegevens bekend.

Digital native concerns zoals Facebook hebben de veranderingen daarentegen dankzij een miljoenenbudget en gebundelde deskundigheid schijnbaar zonder schade doorstaan en gebruiken de AVG nu zelfs voor hun eigen marketing: zo adverteert Google bijvoorbeeld dat ze aan de implementatie van de nieuwe privacywetgeving “500 manjaren werk” hebben besteed.


Amerikaanse bedrijven verbreken de verbinding

In plaats van hun eigen privacyrichtlijnen af te stemmen op de AVG blokkeren veel Amerikaanse bedrijven en nieuwssites, zoals New York Daily en Chicago Tribune, gebruikers met Europese IP-adressen, verminderen de aangeboden informatie of geven die slechts vrij tegen een meerprijs. Dit is een concreet voorbeeld van de “datavlucht” waarvoor veel critici van de AVG al lang bang zijn. Volgens de foutmeldingen die bij het bezoeken van veel websites verschijnen, wordt echter op dit moment gecontroleerd of de diensten ook verder beschikbaar kunnen worden gemaakt voor Europese geïnteresseerden. Deze “atlantische blokkade” zou echter slechts weinig lezers in Europa treffen.


Angst voor het fenomeen “boetegolf”

De GDPR zorgt op veel plaatsen nog steeds voor verwarring. Hoewel de concrete veranderingen in de wettekst slechts gering zijn, is toch de angst voor de consequenties bij niet-naleving van de rechtspositie gegroeid. Zo uit vooral het mkb angst voor boetes; kleine bloggers en forabeheerders hebben hun webprojecten uit voorzorg van internet gehaald. De gevreesde “boetegolf” lijkt – tenminste voorlopig – uit te blijven. Dat betekent ook dat er nog geen grootschalig misbruik van de GDPR is geregistreerd om doelgericht boetes uit te kunnen schrijven.


Ongemak voor verbruikers

Wekenlang ontvingen verbruikers talloze e-mails van webshops en bedrijven die hun nieuwe privacyrichtlijnen wilden presenteren en tegelijkertijd om een toestemmingsverklaring wilden vragen. Veel ontvangers hadden helemaal geen interesse om de lange teksten helemaal door te lezen, daar de informatiegolf met slechts een enkele klik op de “bevestigen”-knop verdwenen was. Daarbij was het des te belangrijker om je niet beet te laten nemen door cybercriminelen die gebruikmaakten van de onoverzichtelijke situatie en probeerden grote aantallen gevoelige klantgegevens binnen te halen.

Een ander onverwacht neveneffect van de nieuwe verordening zijn de duizenden minderjarige gebruikers van social media die plotseling niet meer kunnen inloggen op hun Instagram en Twitter accounts. Websites als gdprhallofshame.com verzamelen ondertussen de meest absurde situaties die ontstaan door de “AVG-paniek”. Daartoe behoort bijvoorbeeld ook een koelkast die zijn bezitter via het display vraagt om toestemming volgens de geactualiseerde privacyrichtlijnen.


Nog meer lof en kritiek

Pro en contra statements wat betreft de Algemene Verordening Gegevensbescherming houden zich grotendeels in evenwicht. Sommigen spreken van onnodige paniekzaaierij en noemen het sluiten van de vele websites voorbarig, anderen verwachten daarentegen de volgende juridische volle laag. De tegenstelling tussen beide standpunten wordt aan de hand van de volgende beide citaten goed zichtbaar:

Citaat:

“De Algemene Verordening Gegevensbescherming verdedigt de belangen van individuen. […] De bedrijven hebben ook voordeel bij de nieuwe regelgeving. […] Alleen al vandaag hebben duizenden internationaal opererende bedrijven zich aangepast aan onze reglementen. Alleen al vandaag hebben meerdere regeringen wereldwijd onze wet gebruikt als voorbeeld voor hun eigen nationale hervormingen. Alleen al vandaag is de EU-wetgeving de wereldwijde standaardnorm geworden.”

- Viviane Reding, Europees Parlement


“Weliswaar is het goedbedoeld, maar niet goed gedaan. Te veel complexiteit kan ertoe leiden dat de acceptatie verdwijnt.”

- Susanne Dehmel, Bitkom


Interesseert dit onderwerp je? Over de concrete toepassing van de EU-cookie regelgeving in Nederland kun je hier meer lezen.