De nieuwe privacywet roept veel vragen bij zowel burgers als organisaties. Wat gaat er nu veranderen? We vragen het Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.

info
clock 06-04-2018 10:20

Alle lidstaten van de Europese Unie (EU) gaan vanaf eind mei dezelfde wetgeving voeren om de privacy van burgers beter te beschermen. Hierdoor komt de Wet bescherming persoonsgegevens (Wbp) te vervallen. En moeten overheden en bedrijven zoals Facebook en Cambridge Analytica veel zorgvuldiger omgaan met jouw persoonlijke gegevens. Anders staat hen een hoge boete te wachten. Daarnaast kun je bij overtreding veel sneller aan de bel trekken.

1. Zijn mijn persoonsgegevens veilig na invoering van de nieuwe wet?

“Toen in 1995 de oude EU-wetgeving van kracht ging, dachten we nog vaak in papier en was er nog geen zoekmachine. Nu alles digitaal is en dus met iedereen gedeeld kan worden, is het van cruciaal belang dat je persoonsgegevens goed worden beveiligd en beschermd. Daarom moeten bedrijven en overheden aan strengere regels voldoen en krijgen burgers meer zeggenschap. Dus de bestaande wetgeving met de zes grondslagen op basis waarvan je persoonsgegevens mag verwerken, is verscherpt en komt terug in een nieuw jasje.”

2. Welke rechten krijgen burgers?

“Burgers krijgen meer rechten om zichzelf beter te kunnen beschermen. Zo is er het recht van vergetelheid. Die bestond in zekere zin al in de oude wet. Mensen hebben nu al het recht om een bedrijf te vragen om hun persoonsgegevens te verwijderen als zij daarvoor een reden hebben. Maar straks mogen zij van die organisatie eisen dit door te voeren bij bedrijven waaraan de persoonsgegevens zijn doorgespeeld. En worden jouw gegevens dus op alle plekken weggehaald. Daarnaast hebben burgers het recht gekregen op dataportabiliteit.”

info
clock 06-04-2018 10:20

Dataportabiliteit betekent dat mensen onder bepaalde voorwaarden het recht hebben om hun gegevens in een standaardformat te ontvangen van het bedrijf in kwestie. Zo kun je bijvoorbeeld gegevens die je met bol.com deelt eenvoudig delen met een andere leverancier van eenzelfde soort dienst.

“Daarnaast is het recht op inzage van de persoonsgegevens steviger vastgesteld. Zo kun je inzien over welke persoonlijke informatie bedrijven beschikken.”

3. Wat als je een klacht hebt?

Volgens Wolfsen is de belangrijkste verandering in de nieuwe wet de mogelijkheid tot het indienen van een klacht. “In de huidige wetgeving sta je niet sterk als je een klacht hebt over het verwerken van je persoonsgegevens door een overheidsinstantie of andere bedrijf.”

De Autoriteit Persoonsgegevens ziet zichzelf na de invoering een soort ombudsman als het gaat om bescherming van persoonsgegevens: “Als je vastloopt met een klacht doordat een bedrijf bijvoorbeeld jouw gegevens niet wil verwijderen, te veel gegevens heeft verzameld of iets niet wil rectificeren. Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.’ Wij nemen de klacht dan in behandeling en gaan na of het bedrijf in overtreding is. Zo ja, dan gelden er consequenties.”

4. Welke controle wordt toegepast?

“Bedrijven hebben een verantwoordingsplicht en moeten dus zorgvuldig bijhouden en kunnen aantonen waarom zij de persoonsgegevens verwerken. Wij kunnen op drie manieren toetsen of dit ook gebeurt. Ten eerste kunnen wij aan de hand van klachten van burgers nagaan of een bedrijf in overtreding is. Ten tweede gaan wij op afspraak op bezoek met een team om gegevensverwerkingen en het interne toezicht daarop te controleren. En tot slot gaan wij bij vermoedens dat er iets mis is, aangekondigd en soms onaangekondigd langs om te controleren of bedrijven alles op orde hebben.”

info
clock 06-04-2018 10:20

Het AP verschillende instrumenten om op te treden als bedrijven de nieuwe wet overtreden. Deze variëren van een waarschuwing tot een boete van 20 miljoen euro.

5. Zorgt dit bij bedrijven niet voor meer administratieve rompslomp?

“Er komen inderdaad wat extra administratieve taken bij. Bedrijven die persoonsgegevens verwerken zijn verplicht een register bij te houden. Ze mogen zelf bepalen in welke vorm zij dat doen, maar welke gegevens erin moeten staat vast. De bakker om de hoek moet bijvoorbeeld kunnen verantwoorden waarom hij jou elke week een nieuwsbrief stuurt via de mail. Dit kan hij bij wijzen van spreken in een schriftje bijhouden.”

Kijk & lees ook

6. Hoe zit het met strafrechtelijke persoonsgegevens?

“Voor het verwerken van strafrechtelijke persoonsgegevens zijn ook aparte en strengere regels. Verwerkingen van gegevens in de rechtshandhaving – bijvoorbeeld door politie en justitie- vallen onder een aparte EU-richtlijn. Verwerkingen van strafrechtelijke gegevens die níet door politie en justitie wordt gedaan, bijvoorbeeld in het kader van zwarte lijsten die winkeliers willen bijhouden, vallen wél onder de AVG, en onder de Uitvoeringswet AVG. Dat is de wetgeving waarmee een aantal dingen nationaal wordt geregeld.”