AVG

Het is inmiddels een maand geleden dat de paniek rond de AVG zijn hoogtepunt kreeg. Het leek oppervlakkig misschien niet zo, maar de vragen de ik kreeg wezen echt in de richting van paniek. En dat allemaal voor een twee jaar oude ‘nieuwe’ wet.

De AVG is een goede wet.

De afgelopen jaren hebben een aantal grote spelers op internet vrij baan gehad bij het verzamelen van allerlei persoonlijke gegevens. In eerste instantie werd gewoon om de gegevens gevraagd. Later werden ze verplicht, om van de diensten gebruik te kunnen maken. En nog later werden ze automatisch en onopgemerkt verzameld. Ik heb het natuurlijk over Google en Facebook, maar er waren nog veel meer bedrijven die zich hiermee bezig hielden.

Deze bedrijven hebben inmiddels zoveel informatie verzameld, dat ze bijna een complete biografie van mensen kunnen samenstellen. Inclusief informatie die u liever niet bekend maakt. En deze informatie wordt ‘verkocht’. Niet letterlijk, maar Google en Facebook bieden aan gebruik te maken van de informatie die ze over u hebben om gericht reclame te maken. En de stap naar daadwerkelijk overdragen van de informatie, aan bv een verzekeringsmaatschappij, is niet ver weg. Nog maar niet te spreken van de risico’s dat informatie via een hacker op straat komt te liggen.

De AVG is bedoeld om dit aan banden te leggen.

De AVG is een Europese wet

Veel mensen hebben wat met de bemoeienis van Brussel in hun persoonlijke leven. Wetten van het Europees Parlement worden al gauw afgedaan als onnodige inmenging en ongewenst. Toch is dit een goede wet.

Organisaties als Google en Facebook liggen niet wakker van een wetje dat in een landje als Nederland wordt ingevoerd. Die paar miljoen gebruikers zijn nog geen procent van het totaal. Waarom daarvan wakker liggen?

Door de Europese wet Is er wel een probleem voor deze organisaties. In Europa zijn vele honderden miljoenen gebruikers actief. Als deze wegvallen, omdat Google of Facebook niet aan de wetgeving wil voldoen valt zomaar een groot percentage van de gebruikers weg. Dat is een gevoelige klap.

Hiermee wordt aangegeven dat dit soort grote organisaties alleen door andere grote eenheden aangepakt kunnen worden. Daarom is het goed dat er een Europese Unie is, die dit kan doen.

Wat doet de AVG?

Het doel van de AVG is het beschermen van de persoonlijke informatie. Bedrijven als Google en Facebook moeten nu verantwoording afleggen. Ze moeten aangeven welke informatie ze verzamelen en waarvoor ze het gebruiken. Overigens geldt dit niet allen voor Google en Facebook. Alle organisaties, groot en klein, die informatie opvragen moeten aan deze wet voldoen.

De AVG biedt de burger en de overheid de mogelijkheid om in te grijpen als een organisatie onnodige informatie vraagt, of onzorgvuldig met informatie omgaat. En de straffen die op overtreding van deze wet staan zijn hoog!

Wat was er nou met 25 mei?

Op 25 mei 2018 werd de AVG ingevo……… Nee, wacht. Dat klopt niet. Veel mensen zagen de AVG, in de aanloop naar 25 mei, als nieuwe wet. Maar dat was helemaal niet zo. De wetgeving van de Europese Unie was al twee jaar geleden (24 mei 2016) ingevoerd. Vanaf dat moment moesten de mensen in de Europese Unie aan de wetgeving van de AVG voldoen. Alleen werd de wet nog niet gehandhaafd. Voldeed je niet aan de wet, dan kon je dat straffeloos doen.

Vanaf 25 mei 2018 wordt de wet wel gehandhaafd. Dat wil zeggen dat je nu WEL een boete kunt krijgen als je de wet overtreedt. En omdat veel mensen de afgelopen twee jaar iets te rustig met de wet bezig waren (Je kreeg immers toch geen straf als je er niet aan voldeed) waren er volop kansen voor ‘onheilsprofeten’ om de ondergang van de internetvrijheid aan te kondigen voor 25 mei 2018.

Volop verwarring

Toegegeven: er was wel reden tot een lichte paniek. Maar dit was vooral veroorzaakt doordat veel mensen zich in de afgelopen twee jaar niet echt in de nieuwe wetgeving hadden verdiept. Er was tijd genoeg en ach, niemand controleert, dus we nemen er nog één. En toen was het ineens april 2018……………..

Een ander punt was dat veel mensen niet precies wisten wat de nieuwe wet inhield. Als consultant ben ik bij veel websites betrokken geweest en heb ik heel veel verschillende uitleg gehoord over wat nu wel en wat niet mocht. Ook onder de mensen die zich als ‘professional’ met de regelgeving bezig hadden moeten houden.

Op beperkte schaal ontstond er ook verwarring door het gebruik van de naam. In Nederland spraken we over de AVG, maar de officiële naam in Europa is GDPR. Dat ging nog wel een beetje goed. Maar ik heb een stukje van een journalist gezien die een gloednieuwe wet aan de horizon zag: De DSGVO…….. Alleen was dat de Duitse benaming voor dezelfde GDPR, die in Nederland AVG heet.……….

Waar gaat het om?

Nu het stof wat is neergedaald, kunnen we misschien nog een keer helder kijken naar wat de AVG precies doet. In grote lijnen gaat het om de volgende onderdelen:

  1. Het opvragen/verzamelen van informatie
  2. Het opslaan en gebruiken van informatie
  3. Het vernietigen van informatie
  4. Wat algemene bepalingen waaraan voldaan moet worden.

 

Voor punt 1 gaat het erom dat u alleen die gegevens mag opvragen die van belang zijn voor de taak die u ermee gaat uitvoeren. In het paniekvoetbal van april en mei heb ik hele formulieren op internet uitgekleed zien worden, omdat er ‘gevoelige’ informatie werd gevraagd. En dat mag niet. Onzin! De wet geeft duidelijk aan dat alles gevraagd mag worden, inclusief geslacht, geloofsovertuiging, huidskleur en seksuele geaardheid. Alles mag. U moet alleen kunnen verklaren waarom u bepaalde gegevens vraagt. Bij een formulier van een ziekenhuis werd de vraag naar het patiëntnummer geschrapt, want dat was gevoelige informatie. Maar dat nummer was juist DE vraag die nodig was om te controleren of iemand echt een patiënt van dat ziekenhuis was……….. Met een klein beetje uitleg was de vraag dus volledig legaal!

Soms is een verklaring niet eens nodig. Als u in een contactformulier op een website vraagt om een emailadres, mag dat, zonder uitleg. U heeft dat adres immers nodig om te kunnen antwoorden. Als de noodzaak van de vraag duidelijk is, mag de vraag gesteld worden. Zonder uitleg.

Wat voor punt 1 geldt, geldt ook voor punt 2. Alles is toegestaan, zolang u kunt verklaren waarom. Als u statistische gegevens produceert over de relatie tussen seksuele geaardheid en levensgeluk, mag u die gegevens opslaan en verwerken. En dat hoeft zelfs niet anoniem. Er wordt wel een bepaalde mate van versleuteling gevraagd, zodat anderen de gegevens niet zomaar aan personen kunnen koppelen. Maar als het voor uw werk noodzakelijk is om dat wel te kunnen, is dat gewoon toegestaan.

U moet wel vooraf duidelijk maken waarvoor de gegevens gebruikt gaan worden. Gegevens die voor één doel zijn verzameld, mogen niet zomaar voor een ander doel worden gebruikt.

Daarnaast moet u aangeven hoelang de gegevens worden bewaard. Bijvoorbeeld tot het afsluiten van het onderzoek. Of een aantal jaren/maanden/dagen…………. Ook dit moet u kunnen verantwoorden. Maar met de juiste argumenten is alles mogelijk.

Het doorgeven van gegevens aan andere organisaties is niet zomaar toegestaan. Daarvoor moet toestemming worden gevraagd aan de eigenaar van de gegevens. En dat is niet de organisatie, maar de persoon op wie de gegevens betrekking hebben.

Punt 3 gaat over het recht om ‘vergeten te worden’. Dit begrip bestaat al een aantal jaren en was vooral bedoeld om te zorgen dat onjuiste en/of negatieve berichten op internet nog jaren later gevonden zouden kunnen worden. Dit recht geeft mensen de mogelijkheid om organisaties te dwingen informatie te verwijderen.

Volgens de AVG moeten organisaties verzoeken tot verwijdering, zonder voorbehoud, uitvoeren. Maar onlangs dacht iemand Wehkamp op de vingers te kunnen tikken, omdat deze een identificatie vroeg, voor gegevens werden verwijderd. Dat was weer een stap te ver. Organisaties mogen niet vragen naar het waarom, maar ze moeten zich er wel van vergewissen dat de persoon die om verwijdering vraagt ook de eigenaar van de betreffende gegevens is. Gewoon rücksichtslos gegevens verwijderen had, op zichzelf, een inbreuk op de wet geweest, omdat daarmee de veiligheid van de gegevens niet is gewaarborgd.

Punt 4 is de lastige. Ging het in punt 1 t/m 3 over de gegevens zelf, punt 4 gaat over de omgeving. Hoe veilig zijn de gegevens. Welke stappen zijn gezet om te voorkomen dat gegevens bij onbevoegden terecht komen? En Als het toch gebeurd, wat is er dan gedaan om te zorgen dat die onbevoegden niets aan die gegevens hebben?

Voor websites betekent dit over het algemeen dat bij het opvragen van gegevens een beveiligingscertificaat op de website aanwezig moet zijn, zodat de gegevens die over internet worden verstuurd niet zomaar leesbaar zijn. Als gegevens worden opgeslagen (op een website, maar ook als dit ergens anders gebeurt) moet de toegang tot de gegevens beperkt zijn tot de mensen die, vanuit hun beroep, met de gegevens moeten werken.

De AVG gaat dus verder dan alleen het opvragen en opslaan van gegevens. De veiligheid moet ook binnen de organisatie worden gewaarborgd. Het kan dus sterk ingrijpen in bedrijfsprocessen.

Omdat verantwoording afgelegd moet worden over welke gegevens worden opgevraagd, vastgelegd en verwerkt, moeten sommige organisaties een “Functionaris Gegevensbescherming” (FG) aanstellen. Deze functionaris is HET aanspreekpunt, als er vragen zijn over de beveiliging en het gebruik van gegevens. In tegenstelling tot wat sommige mensen denken is het aanstellen van deze FG lang niet voor alle organisaties verplicht. De wet geeft de verplichting alleen voor de overheid en organisaties die vanuit hun “kerntaak“ grote hoeveelheden gegevens verwerken. De bakker om de hoek hoeft dus helemaal geen FG te hebben…………. Het staat elke organisatie vrij een FG aan te stellen. Dit mag zelfs een extern iemand zijn. Het is ook mogelijk om de FG aan te melden bij de Autoriteit Persoonsgegevens.

Het is ook belangrijk om regels en argumenten rond het opvragen, opslaan en verwerken van gegevens vast te leggen. En te zoeken naar mogelijkheden om aan te tonen dat de eigen regels worden nageleefd. Dat is één van de taken van een FG. Maar ook andere organisaties moeten hieraan voldoen.

 

Onduidelijkheden

De AVG kent wel een paar onduidelijkheden. De meeste zijn veroorzaakt door de ‘experts’ die wilde verhalen gebruikten om hun ‘expertise’ te kunnen verkopen. Maar er zijn toch ook nog een aantal dingen die niet zo goed geregeld zijn.

De AVG is de Nederlandse implementatie van de Europese GDPR. Nederland heeft die GDPR gewoon in het Nederlands vertaald, maar landen als Duitsland en Spanje hebben gebruikgemaakt van de artikelen in de wet die eigen interpretaties toestaan aan lidstaten van de Europese Unie. De Duitse variant (DSGVO) wijkt dus af van de Nederlandse AVG.

Daarnaast is er nog het probleem van het recht om vergeten te worden. De AVG stelt dat de gegevens verwijderd/vernietigd dienen te worden. Dit moet, bovendien, kunnen worden aangetoond. Een mooie regel, maar de praktijk is iets weerbarstiger. Veel bedrijven hebben een backup van de gegevens. Dit is belangrijk, als er brand uit breekt, oid. Hoe verwijder je de gegevens ook van die backup? En hoe toon je aan dat de verwijdering ook echt is doorgevoerd?

Over een aantal punten zal nog jurisprudentie moeten worden opgebouwd, om de kaders precies vast te stellen. Omdat het o een Europese wet gaat, zal dit ook wel even op zich laten wachten. De normale rechtsgang gaat via lokale rechtbanken naar het Europese Hof. Voor de eerste uitspraken er zijn, zijn we wel een paar maanden verder.

Het resultaat

Als afsluiter wil ik aangeven dat ik persoonlijk wel blij ben met deze wet. De bescherming van mijn persoonlijke gegevens is met deze wet beter geregeld dat tot nu toe het geval was. (Ondanks dat er uitzonderingen zijn gemaakt voor het verzamelen van gegevens voor de nationale veiligheidsdiensten.) De regels lijken nu lastig, maar dat komt vooral door onbekendheid en het feit dat ze nu een hoop (extra) werk opleveren. Over een aantal jaren zijn de regels van de AVG gemeengoed en zal de ‘last’ veel minder worden ervaren.

Meer informatie

U kunt alles over de AVG vinden op de website van de Autoriteit Persoonsgegevens, onder “Dossier AVG“.

 

 

Dit document is tot stand gekomen zonder medeweten en zonder medewerking van de Autoriteit Persoonsgegevens.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *