Een nieuwe privacywet: dit is wat er verandert
Over vier maanden geldt er in de hele Europese Unie nieuwe privacywetgeving. De algemene verordening gegevensbescherming (AVG) moet inwoners van de EU meer invloed laten hebben op wat er met hun privacygevoelige informatie gebeurt en wat bedrijven, overheden en organisaties ermee doen. Dit verandert er.
De nieuwe wetgeving (de General Data Protection Regulation, GDPR) geldt als de grootste verandering van de regels voor het verzamelen van privacygevoelige informatie sinds de geboorte van het internet.
Vanaf 25 mei dit jaar kunnen inwoners van de EU bij elk bedrijf, website of overheidsinstantie opvragen wat voor gegevens zij over hen hebben, waarom ze die hebben en met wie deze gegevens worden gedeeld. Een website, bedrijf of overheid moet ook in duidelijke taal hoe ze de data gebruiken, hoe lang de gegevens bewaard worden en hoe de data wordt beveiligd.
Zo moet de nieuwe privacywet onze gegevens beter gaan beschermen:
Bedrijven moeten vanaf mei vaker expliciet toestemming vragen om jouw gegevens te gebruiken.
Toestemming en vergeet-recht
Organisaties moesten altijd al jouw toestemming hebben voordat ze gegevens over je opslaan. Met de nieuwe wet moet je deze toestemming vaker geïnformeerd maken: een organisatie moet je dus duidelijk vertellen welke gegevens ze voor welk doel verzamelen.
Organisaties zijn nu ook verplicht om achteraf te kunnen aantonen dat ze deze toestemming hebben, en je moet je toestemming met hetzelfde gemak weer in kunnen trekken. Handig om te weten: je mag straks ook op elk moment de gegevens bekijken die over je worden verzameld.
Recht om vergeten te worden
Ook krijgt iedereen het recht om vergeten te worden. In het kort komt het erop neer dat je een organisatie kunt vragen om je persoonsgegevens te wissen. Dat kon eerder alleen met gegevens die niet klopten of onvolledig waren. Daarnaast kun je straks ook vragen of de organisaties de gegevens laten verwijderen bij andere partijen aan wie ze die hebben doorgespeeld.
Bedrijven, overheden en organisaties mogen in Nederland alleen de privacygevoelige gegevens opslaan van kinderen boven de 16 jaar. Voor kinderen die jonger zijn dan 16 jaar is toestemming van de ouders nodig.
Facebook moet er ook aan geloven
De wetgeving geldt ook voor bedrijven en organisaties van buiten de Europese Unie, zoals Facebook en Google. Om te voldoen aan de nieuwe regels maakt Facebook het straks bijvoorbeeld makkelijker om te bepalen welke informatie je op welke manier deelt.
Het bedrijf loopt daarmee al iets vooruit op de inwerkingtreding van de wet. Dat is begrijpelijk, want als organisaties de wet overtreden, kunnen zij behoorlijk hard op de vingers worden getikt door de toezichthouders en riskeren zij hoge boetes. Die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.
Voor eerst zelfde regels binnen EU
Het is voor het eerst dat overal binnen de Europese Unie dezelfde regels gelden. Voor de invoering van de nieuwe wet kon ieder land nog zijn eigen regels bepalen, als deze maar binnen de 23 jaar oude Europese richtlijnen vielen.
Het gaat om alle gegevens die te herleiden zijn naar een persoon, zoals je naam, leeftijd, gezondheidsgegevens, politieke mening of voorkeur, emailadres, foto, vingerafdruk, IP-adres en geolocatie.