Loading

AVG /GDPR PRIVACYWET Wat houdt het in?

De nieuwe Algemene Verordening Gegevensbescherming is in werking getreden.

Eindelijk is er op Europees niveau een wet die de privacy van de burgers beschermt. Wat houdt de wet precies in en wat zijn de gevolgen voor consumenten?

'Particulieren vallen niet onder deze wet'

'Particulieren vallen niet onder deze wet'

Wat is de AVG?

De General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die in alle lidstaten van kracht is. De AVG verplicht organisaties organisatorische en technische maatregelen te nemen om de privacy binnen de verwerking van persoonsgegevens te waarborgen.

De Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is twee jaar geleden al in werking getreden, maar vanaf 25 mei moeten landen in de Europese Unie zich hier ook aan houden. De afgelopen twee jaar hebben bedrijven en toezichthouders de tijd gehad om zich voor te bereiden op de nieuwe privacywet.

Bedrijven krijgen meer verplichtingen als het gaat om de privacy van consumenten. Consumenten krijgen daarentegen meer rechten als het gaat om controle over hun persoonsgegevens. Wie zich niet aan de nieuwe wet houdt kan een boete opgelegd krijgen. Alle Europese toezichthouders hebben nu dezelfde bevoegdheden om zo'n boete op te leggen.

Alle Europese toezichthouders hebben nu dezelfde bevoegdheden om zo'n boete op te leggen

Wat zijn persoonsgegevens eigenlijk?

'Persoonsgegevens' is een heel ruim begrip. Niet alleen je woonadres, postcode, woonplaats, mobiele nummer, ip-adres of e-mailadres zijn persoonsgegevens, maar ook zaken zoals je aankopen die geregistreerd worden, je belgedrag, hoe vaak je bij een sportvereniging komt en locatiegegevens (zoals in een smartphone).

Is de AVG hetzelfde als de sleepwet?

Nee, de sleepwet is de Wet op de inlichtingen- en veiligheidsdiensten. Die wet geeft inlichtingendiensten toestemming om af te luisteren en te hacken. Ze mogen ongericht zoeken, er hoeft geen aanleiding te zijn. Bij de AVG gaat het om persoonsgegevens en hoe er met die gegevens omgegaan wordt.

Recht op informatie: wat betekent dat?

Wat een bedrijf doet met data van consumenten staat meestal beschreven in een privacy statement, maar zo'n statement moet door de indiensttreding van de AVG worden uitgebreid. Dit geldt niet alleen voor bedrijven, maar ook voor verenigingen en stichtingen die persoonsgegevens verzamelen. Zo moet duidelijk zijn hoe lang gegevens worden bewaard. Consumenten moeten actief worden gewezen op het recht om gegevens in te zien, ze te laten aanpassen, te laten aanvullen of te laten verwijderen. Ook moet er in dat statement staan dat je het recht hebt om bezwaar te maken en dat je de organisatie kan zeggen wat zij met de gegevens mogen doen. Heb je ergens toestemming voor gegeven? Dan moet je er op gewezen worden dat je die toestemming op elk moment kan intrekken.

Consumenten moeten actief worden gewezen op het recht om gegevens in te zien

Je moet ook duidelijk kunnen zien dat je terecht kan bij de Autoriteit Persoonsgegevens om een klacht in te dienen, of je gegevens worden doorgegeven naar landen buiten de Europese Unie en waar je gegevens vandaan komen (hoe zijn deze verzameld?).

'Consumenten hebben recht op inzage, uitleg en transparantie', zegt onderzoeksjournalist Brenno de Winter. 'Soms kan het zijn dat de inzage wordt geweigerd als er andere belangen zijn. Je hoort wel antwoord te krijgen.'

Wat is het recht op dataportabiliteit?

Consumenten krijgen meer controle over hun eigen persoonsgegevens

Het recht op dataportabiliteit is nieuw met de invoering van de AVG. Stel je wil wisselen van bank, dan kan je de bank vragen om jouw gegevens door te geven aan de nieuwe bank. Hetzelfde geldt als je overstapt naar een andere zorgverzekeraar. Alle gegevens die bij je huidige zorgverzekeraar bekend zijn kun je naar de nieuwe zorgverzekeraar laten sturen, zodat je daar niet het hele aanmeldproces opnieuw hoeft te doorlopen.

Consumenten krijgen meer controle over hun eigen persoonsgegevens met deze regel. Daarnaast wordt het makkelijker om over te stappen naar een andere aanbieder van een dienst.

Kan je je persoonlijke gegevens laten verwijderen?

Ja, ook dat is een nieuw recht voor consumenten. Je kan een organisatie verzoeken om je persoonsgegevens te laten verwijderen. Dat kan niet overal, zoals bij de Belastingdienst. Stel je bent lid van een sportvereniging en je schrijft je uit, dan kan je de vereniging verzoeken al jouw gegevens te verwijderen. Heeft een bedrijf jouw gegevens ook doorgegeven aan een zusterorganisatie? Dan kan je het bedrijf verzoeken om ook daar jouw gegevens te laten verwijderen.

Hoe zit het met nieuwsbrieven?

Veel bedrijven of organisaties zijn nu consumenten aan het mailen die regelmatig een nieuwsbrief hebben ontvangen om hen te wijzen op de nieuwe privacyregels, of wijzen bezoekers hierop op hun website. Een nieuwsbrief mag onder de AVG gewoon worden verstuurd, zolang je jezelf maar aangemeld hebt voor die nieuwsbrief. Dat is al jaren zo geregeld in de Telecomwet.

Mag je nog een foto op sociale media plaatsen?

Het kan zijn dat je foto's hebt gemaakt waar mensen op staan. Als je die op je Facebookpagina of website wil plaatsen, dan heb je daar toestemming voor nodig van de geportretteerde. Foto's met portretten van mensen zijn immers een persoonsgegeven. Je moet een grondslag hebben, zoals toestemming, om de foto te publiceren op je Facebookpagina of Instagramprofiel. Sta je dus op een druk kruispunt in Amsterdam en staan er tientallen mensen op je foto? Dan moet je hun gezichten blurren als je de foto wil publiceren. Dit is echter het geval als je je foto's beroepsmatig publiceert.

Foto's met portretten van mensen zijn een persoonsgegeven.

Stel dat je alleen maar fotografeert als hobby en je publiceert die foto's niet op tientallen websites, dan wordt dat gezien als 'persoonlijk of huishoudelijk' doel. Je valt dan niet onder de AVG. Zet je een hele portfolio online? Dan val je wel weer binnen de AVG. Je kan dus zonder problemen een foto met je vriend of vriendin op je Facebook-, Twitter- of Instagramaccount zetten.

Foto op bedrijfssite of Facebookpagina van bedrijf

Als een bedrijf of professionele fotograaf een foto van jou heeft gemaakt, dan mogen ze door de privacywetgeving AVG deze foto niet zomaar delen op hun Instagram- of Facebookpagina of website. Foto's met portretten van mensen vallen onder persoonsgegevens. Bedrijven moeten dus toestemming aan jou vragen, voordat ze een foto mogen delen waar jij op staat. Ook in het geval van een foto van een drukke straat waar tientallen mensen rondlopen, zal het bedrijf aan alle personen op de foto toestemming moeten vragen voordat ze de foto publiceren. Overigens heeft een bedrijf ook de optie om de gezichten te blurren, zodat ze de foto alsnog kunnen publiceren.

Foto op website sportvereniging

Sportverenigingen mogen door de AVG niet langer zomaar foto's plaatsen van jeugdleden. Daan Hoogendijk van stichting AVG voor Verenigingen tegenover het AD: 'Je moet straks ook toestemming van alle ouders hebben als je foto's van jeugdleden wilt publiceren, denk aan teamfoto's of foto's van evenementen.'

Sportverenigingen mogen door de AVG niet langer zomaar foto's plaatsen van jeugdleden

Sportclubs die zich niet volledig aan de nieuwe regels houden, zullen niet direct een boete krijgen. Minister Sander Dekker van Rechtsbescherming: 'Als je er nu mee bezig bent, zal het echt niet zo zijn dat de autoriteit op de stoep staat bij een voetbalclub. Als grote bedrijven er met de pet naar gooien en jouw of mijn gegevens op straat liggen, dan heb je echt een probleem.'

Foto gemaakt door particulier

In tegenstelling tot bedrijven, verenigingen en stichtingen, vallen hobbyfotografen en particulieren niet onder de AVG-wetgeving. Dit betekent dat een vriend zonder problemen een foto met jou erop kan delen via Facebook of Instagram.

Als je het niet eens bent met een foto van jou die online is geplaatst, dan kun je je in sommige gevallen beroepen op het portretrecht.

Dit betekent dat een foto niet mag worden gepubliceerd zonder toestemming. In het geval van een foto die in opdracht van jou is gemaakt, moet de fotograaf jouw toestemming hebben voordat de foto kan worden geplaatst. Foto's die niet in opdracht zijn gemaakt, mogen vrij gepubliceerd worden. Tenzij jij als afgebeelde persoon een 'redelijk belang' hebt om publicatie van de foto te voorkomen. Dit belang kan privacy zijn, of een financieel belang, als iemand geld verdient met jouw foto.

Kinderen op sociale media: toestemming nodig?

Onder de 16 jaar? Ouders moeten toestemming geven.

Voor kinderen onder de zestien die op sociaalnetwerksites zoals Facebook of Instagram zitten, geldt dat ouders hiervoor toestemming moeten geven. Op Instagram wordt er gevraagd om een geboortedatum. Outlook (van Microsoft) verzoekt een kopie van een identiteitsbewijs of een creditcardbetaling om zo te verifiëren dat de ouders toestemming geven voor gebruik van het programma.

Bedrijf houdt zich niet aan de wet: wat kan je doen?

Consumenten die denken dat een organisatie zich niet aan de AVG privacywet houdt, kunnen een klacht indienen bij het bedrijf, maar kunnen zich ook wenden tot de Autoriteit Persoonsgegevens of de rechter.

Hoe hoog zijn de boetes?

Wie zich niet aan de AVG houdt loopt het risico een boete te krijgen. De hoogte van de boete is afhankelijk van de zwaarte van de overtreding en kan oplopen tot twintig miljoen euro (of vier procent van de omzet). 'Voor bedrijven is een boete echter niet de grootste bedreiging', aldus De Winter. 'Handhavende maatregelen wel, zoals een berisping of waarschuwing. Ook consumenten kunnen in theorie beboet worden, maar dan moet je het wel heel bont maken.'

Zwarte lijst

Het doel van een zwarte lijst is om organisaties te waarschuwen voor bepaalde personen. Zo kunnen organisaties beoordelen of zij met die personen zaken willen doen.

Bijvoorbeeld of zij die personen in hun winkel willen binnenlaten of in hun hotel willen laten overnachten. Op een zwarte lijst staan vaak strafrechtelijke gegevens of gegevens over ongewenst gedrag. Bijvoorbeeld dat iemand is veroordeeld voor winkeldiefstal of ernstige overlast heeft veroorzaakt.

Een zwarte lijst opstellen en gebruiken is niet zomaar toegestaan.

Een zwarte lijst opstellen en gebruiken is niet zomaar toegestaan. Een organisatie die een zwarte lijst wil aanleggen, moet in ieder geval aan 3 voorwaarden voldoen.

  • Gerechtvaardigd belang. De organisatie moet een gerechtvaardigd belang hebben bij het gebruik van een zwarte lijst. Bijvoorbeeld wangedrag of fraude bestrijden.
  • Noodzaak verwerking persoonsgegevens. De zwarte lijst moet noodzakelijk zijn. Dit houdt in dat de organisatie het doel niet op een andere manier kan bereiken, die minder ingrijpend is voor de privacy van de betrokkenen. Dat zijn de mensen over wie het gaat.
  • Zwaarwegend belang. De organisatie moet duidelijk kunnen maken waarom het (bedrijfs)belang zwaarder weegt dan het privacybelang van de mensen over wie het gaat. De organisatie moet hierbij kijken naar de ernst van de vergrijpen en de gevolgen voor de personen die op een zwarte lijst staan.

Mensen die op een zwarte lijst staan, hebben op grond van de UAVG een aantal rechten. Bijvoorbeeld het recht om inzage te vragen in hun eigen persoonsgegevens en om te vragen deze gegevens te corrigeren of verwijderen.

Wil een organisatie een zwarte lijst delen? Terwijl daarop strafrechtelijke gegevens staan en/of gegevens over een door de rechter opgelegd verbod vanwege hinderlijk of onrechtmatig gedrag? Dan moet de organisatie daarvoor een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Dat is bepaald in de Uitvoeringswet AVG (UAVG). De AP houdt een register bij van verleende vergunningen.

Voorbeeldbrieven

Om u te helpen bij het uitoefenen van uw privacyrechten, heeft de Autoriteit Persoonsgegevens een aantal voorbeeldbrieven gemaakt.

(bron: Autoriteit Persoonsgegevens

© 2020 Veilig Digitaal

Created By
Veilig Digitaal
Appreciate