De Europese privacywet: wat houdt die in?

Meer persoonsgegevens 

De regels die sinds 2018 gelden, vallen onder de noemer ‘Algemene verordening gegevensbescherming (AVG)’ en gelden voor de gehele Europese Unie (EU). Meer verschillende soorten gegevens vallen nu onder de norm persoonsgegevens. Daardoor vallen deze ook onder de beschermingsregels die bedrijven moeten naleven. Voorbeelden zijn IP-adressen (unieke nummers die apparaten krijgen zodra ze verbonden zijn met internet) en cookies. Gelukkig maar, want via een IP-adres kunnen organisaties (bijvoorbeeld Facebook en Google) een schat aan privacygevoelige gegevens vergaren, zoals hoe vaak en wanneer je de site bezoekt.

Toestemming bewijzen

Bedrijven mogen persoonsgegevens verwerken met je toestemming, maar ze moeten wel kunnen aantonen dat ze die ook echt gekregen hebben. Simpelweg noteren dat jij toestemming hebt gegeven is dus onvoldoende.

Meer ‘bijzondere persoonsgegevens’

‘Bijzondere persoonsgegevens’ zijn bijvoorbeeld gegevens die informatie geven over je religie, etnische afkomst, politieke opvatting of gezondheid. Er zullen meer gegevens (zoals DNA en vingerafdrukken) straks in deze categorie vallen. Deze gegevens mogen bedrijven in principe niet gebruiken of verwerken. Vingerafdrukscanners zijn nu al op grote schaal in gebruik, bijvoorbeeld op mobiele apparaten en als toegangssleutel in gebouwen, zoals sportscholen. 

Simpelere privacyverklaringen

Een privacyverklaring moet begrijpelijk zijn. De teksten moeten straks zo eenvoudig mogelijk zijn en geen ruimte laten voor andere uitleg. Ook mogen ze geen woorden bevatten zoals 'zou kunnen' of 'mogelijk'.

Recht op vergetelheid

Je krijgt als burger nieuwe rechten, bijvoorbeeld om 'vergeten' te worden. Je kunt dan in bepaalde gevallen letterlijk eisen dat organisaties je volledig 'vergeten'. Dit houdt in dat je organisaties kunt verzoeken om je persoonsgegevens te wissen. In de huidige wet is er al een 'recht op verwijdering'. Bijvoorbeeld van gegevens die niet van belang zijn voor het doel waarvoor ze zijn verzameld. Het recht op vergetelheid is nu breder en minder beperkt.

Je gegevens meekrijgen

Je hebt straks ook het recht de persoonsgegevens die bedrijven van je hebben op te vragen en te ontvangen. Er bestaat nu al een inzagerecht, maar bedrijven gaan hier soms creatief mee om door bijvoorbeeld alleen inzage te geven op kantoor.

Bezwaar tegen profilering

Je kunt bezwaar maken tegen ‘profilering’, ofwel dat bedrijven een gedetailleerd profiel van je aanmaken. Deze profielen zijn waardevol voor adverteerders. 

Megaboetes

Overtreedt een organisatie de nieuwe privacywet, dan kan de toezichthouder een boete opleggen tot 4% van de jaaromzet van de overtreder. Daarvan gaat geen cent naar de consument, ook niet als je de dupe bent van een datalek: het gaat regelrecht de schatkist in. Als je als gedupeerde consument een schadevergoeding wil, moet je zelf in actie komen en een rechtszaak beginnen.

Lees meer over de nieuwe Europese privacyregels op de website van de Autoriteit Persoonsgegevens.