De AVG, wat moet u er mee?

Wist u dat ons kantoor nog niet zo lang geleden een nieuwe fax heeft aangeschaft? Het is namelijk niet mogelijk om digitaal stukken in te dienen bij de rechtbank en soms moet je nog voor een cliënt op de laatste dag een stuk indienen. We zijn dus anno 2018 als advocaat nog aangewezen op de fax.

Terwijl de overheid de digitalisering maar niet op orde krijgt – denk aan de miljoenen opslurpende IT systemen van de politie en de belastingdienst en het uitstellen van de digitalisering van de rechtspraak – moet het bedrijfsleven vanaf volgende maand opeens heel veel. Dat heeft alles te maken met Europese regels en de daaruit voortvloeiende Algemene Verordening Gegevensbescherming, de AVG dus.

Wat is de AVG?

Vanaf 2001 hadden we al de Wet bescherming persoonsgegevens, maar twee jaar geleden zijn uniforme regels voor Europa, de General Data Protection Regulation (GDPR), in werking getreden. Per 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De wet geeft de Europese toezichthouders (in Nederland: de Autoriteit Persoonsgegevens (AP)), stevige bevoegdheden. De AP kan boetes tot €20 miljoen of 4% van de wereldwijde omzet opleggen. Dat is vooral bedoeld om grote dataverzamelaars, denk aan Google en Facebook, af te schrikken. Maar de regels gelden ook voor alle organisaties, dus ondernemingen, gemeenten, scholen, sportclubs en ZZP-ers. Dus voor iedereen die gegevens over privé personen verzamelt. Alhoewel al twee jaar bekend is wat er stond te gebeuren, blijkt dat meer dan de helft van de bedrijven de zaken nog niet op orde heeft. Wat betekent de AVG voor u als ondernemer en wat kunt u er als consument mee?

De AVG is er vooral voor bedoeld om makkelijker inzicht te krijgen in de privé gegevens die organisaties verzamelen. Consumenten moeten makkelijk hun gegevens kunnen opvragen en grote bedrijven (meer dan 250 medewerkers) moeten een privacyfunctionaris aanstellen. Alle organisaties moeten een register bijhouden over de gegevens die ze verwerken.

Wat betekent de AVG voor u als ondernemer?

Als ondernemer heeft u een verantwoordingsplicht: u moet uw verwerkingsactiviteiten bijhouden in een register en aantonen dat degene van wie u gegevens heeft opgeslagen ook daadwerkelijk daarvoor toestemming heeft verleend. De wijze waarop u gegevens van uw klanten hebt verkregen en opgeslagen moet niet alleen rechtmatig zijn, het moet ook transparant zijn en u moet niet meer verwerken dan voor het doel nodig is. De gegevens moeten ook kloppen.

Ook moet u maatregelen hebben getroffen tegen datalekken, hacken en het kwijtraken van gegevens. Een goede beveiliging en een back-up is dus noodzakelijk. Een inbreuk in verband met persoonsgegevens moet onverwijld bij de AP en aan de betrokkene in duidelijke taal worden gemeld. Omdat het zo makkelijk is geworden om veel gegevens op te slaan (in de cloud), is het toezicht om misbruik en datalekken te voorkomen strenger geworden. Iedereen moet zich ervan bewust zijn dat hij zorgvuldig met gegevens van een ander moet omgaan.

Wat betekent de AVG voor u als consument?

Als consument had u reeds het recht op inzage. Dat gold immers al op grond van de Wet bescherming persoonsgegevens uit 2001. Het niet naleven van deze wet had echter niet veel consequenties. In het ergste geval kwam er een waarschuwing van de AP. Nu kunnen er direct, zonder waarschuwing, flinke boetes worden uitgedeeld. Op grond van jurisprudentie bestond al het recht om ‘’vergeten’’ te worden. Sinds deze uitspraak uit 2014 hebben al bijna 700.000 mensen een aanvraag gedaan bij Google om zoekresultaten met hun naam te wissen. Dat vergeetrecht heeft dus nu een wettelijke basis. Bedrijven moeten de gegevens van een persoon op diens verzoek verwijderen als het belang van deze persoon zwaarder weegt dan het belang van het bedrijf. Ook iemand die toestemming heeft verleend voor het verwerken van zijn gegevens moet dat makkelijk kunnen intrekken. Nieuw is het recht op dataportabiliteit. Jouw persoonsgegevens zijn jouw eigendom. Je moet ze makkelijk kunnen opvragen en aan een nieuwe dienstverlener (sociaal netwerk, vereniging, provider enz.) kunnen overdragen.

Nog een leuke: je hebt het recht op een menselijke blik; je mag niet door een computer, bijvoorbeeld bij een kredietaanvragen of een sollicitatie, worden afgewezen.

Vragen over dit onderwerp? Neem contact op met WP advocaten (078-68 19 555) of info@wpadvocaten.nl.