De AVG: Wat betekent dat voor u?
Over een week staat er een nieuwe wet voor de deur: de Algemene Verordening Gegevensbescherming, kort gezegd de AVG. Ieder bedrijf en overheidsinstantie die met persoonsgegevens van anderen werkt, moet vanaf 25 mei aan een aantal strenge eisen voldoen. Een flinke verandering voor hen dus, maar wat betekent het voor de gewone burger? Delft op Zondag zocht het uit.
Jan Eerkes is advocaat en gespecialiseerd in ICT-recht en privacyrecht. Sinds het Europees Parlement en de Raad van de Europese Unie in 2016 de wet aannam, adviseert en begeleidt hij bedrijven om de wet ook daadwerkelijk door te voeren binnen de bedrijfsstructuur. Sommige bedrijven zijn er nog niet helemaal klaar voor, vertelt hij. "Al twee jaar ben ik als een roepende in de woestijn. Iedereen heeft twee jaar de tijd gekregen om de wet te implementeren, maar veel laten het van het laatste moment afhangen. Ze komen er nu pas achter dat er eigenlijk best wel veel moet gebeuren."
Want wat moet er dan precies gebeuren? De AVG is in het leven geroepen omdat men vond dat bedrijven met meer zorg met de persoonsgegevens van hun klanten om moeten gaan. Burgers hebben het recht te weten welke gegevens de bedrijven van ze bewaren en waarom ze dat doen. Om te kunnen voldoen aan dit recht, moeten bedrijven daarom documenteren welke gegevens ze verzamelen van burgers, waarom ze dat doen, en hoe lang ze deze gegevens gaan bewaren. Een grote klus dus. En er verandert nog meer: als het bedrijf geen goede reden heeft om bepaalde gegevens te verzamelen, mogen ze deze met ingang van de nieuwe wet ook niet meer van je vragen. "Bijvoorbeeld", zegt Eerkes. "Je koopt een nieuw boek via internet. Dan is het belangrijk dat ze weten naar welk adres het boek gestuurd moet worden. Wat je geslacht of leeftijd is, is in zo'n geval totaal irrelevant. Dit soort gegevens mogen bedrijven dan dus ook niet meer verzamelen, als er geen gegronde reden voor is."
Maar wat is dan een gegronde reden? Dat ligt moeilijk, volgens Eerkes. "Er zijn een aantal redenen, ook wel grondslagen genoemd, die bedrijven als basis kunnen nemen voor het verzamelen van gegevens. Zo is er bijvoorbeeld de grondslag "wettelijke verplichting", een bedrijf is namelijk verplicht sommige gegevens van klanten te bewaren voor onder andere de boekhouding. Of de grondslag "Toestemming van gebruiker", waarbij de gebruiker expliciet toestemming heeft gegeven voor het bewaren van zijn of haar gegevens, denk bijvoorbeeld aan het toestemming geven voor het gebruik van je e-mailadres voor het sturen van een nieuwsbrief. Maar het is moeilijk, omdat een gegronde reden soms moeilijk vast te stellen is. Wat voor het bedrijf een grondslag kan zijn, bijvoorbeeld uit marketingoogpunt, hoeft voor de burger geen goede reden te zijn."
Naast dat de bedrijven aan een aantal strenge regels moeten gaan voldoen, krijgen de burgers er twee nieuwe rechten bij: het recht op vergetelheid, en het recht op dataportabiliteit. Dat eerste recht houdt in dat je van een bedrijf kan vragen om al jouw gegevens te wissen. Zij moeten hier dan aan voldoen, tenzij ze een gegronde reden, een grondslag, hebben om dat niet te doen. "Daarbij moet de afweging worden gemaakt wat zwaarder weegt", vertelt Eerkes. "Het recht op vergetelheid van de burger, of de grondslag van bedrijven om bepaalde gegevens te bewaren. Dit zijn soms lastige situaties, en de toekomst moet uitwijzen hoe deze opgelost gaan worden." Het recht op dataportabiliteit houdt in dat een burger het recht krijgt om tegen een bedrijf te zeggen "Ik wil overstappen, verzamel mijn gegevens, geef ze aan mij zodat ik deze naar de andere partij kan sturen vergeet mij in jouw klantenbestand ". Dit kan bijvoorbeeld zijn bij overstappen van de ene muziekdienst naar een andere, waarbij je de afspeellijsten kunt overzetten. Eerkes benadrukt dat er ook rechten zijn die de burger al jaren heeft, maar die vaak niet bekend zijn. "Bijvoorbeeld het recht op kosteloze inzage van je gegevens, of het recht op correctie, als er iets niet klopt, en het recht om bezwaar te maken tegen het verzamelen van je gegevens. Wel moet ik erbij zeggen dat deze rechten niet absoluut zijn. Overal zijn weer uitzonderingen op, en rechten kunnen afgewezen worden. Daarom is het zo'n enorm complexe wet."
In het dagelijks leven zullen burgers in tegenstelling tot de bedrijven niet veel van de nieuwe wet merken, denkt Eerkes. "Je zal vaker expliciet om toestemming gevraagd gaan worden voor het gebruik van je gegevens, en privacyverklaringen en toestemmingsformulieren moeten na 25 mei heel duidelijk geschreven worden. Mensen moeten kunnen begrijpen waar ze 'ja' tegen zeggen."