Met de in werking treding van de AVG (Algemene Verordening Gegevensbescherming) is de rechtspositie van de Europese consument beter beschermd dan voorheen. Deze relatief nieuwe wetgeving is sinds 25 mei 2018 van kracht en heeft tot doel om de privacy van natuurlijke personen beter te bewaken. Wat de wet exact inhoudt en wat de consument eraan heeft, blijft nog altijd voer voor speculaties.
De AVG wetgeving in Nederland
De AVG wetgeving of General Data Protection Regulation, ook wel GDPR genoemd, is in feite al twee jaar geleden ingevoerd. Vanaf 25 mei moeten alle landen in de Europese Unie zich hier aan houden. De tussenliggende periode hebben ondernemingen, organisaties en toezichthouders zich kunnen voorbereiden op de feitelijke invoering van de nieuwe privacy wetgeving.
Wat houdt de AVG wetgeving precies in?
Met de komst van de AVG wetgeving zijn bedrijven genoodzaakt om meer aandacht te besteden aan de belangen van de consumenten op het gebied van privacy. Daar staat tegenover dat consumenten een sterkere rechtspositie hebben gekregen als het gaat over de controle op het gebruik en opslag van hun persoonsgegevens. De nieuwe privacywetgeving is in tegenstelling tot de oude situatie, geen papieren tijger. Zo kan een onderneming of organisatie die zich niet conformeert aan de wet, een boete krijgen. Ook op dat punt is er sprake van een behoorlijke verandering, alle Europese toezichthouders hebben nu de bevoegdheid om boetes op te leggen.
Wat houden persoonsgegevens bij AVG wet eigenlijk in?
Het begrip ‘persoonsgegevens’ neemt binnen de AVG een prominente plaats in. Ondanks het feit dat het een ruim begrip, kan er wel een summiere opsomming worden gegeven om duidelijk te maken welke gegevens onder het begrip ‘persoonsgegevens’ vallen. Zo zijn het woonadres, de postcode, de woonplaats, het mobiele nummer, het IP-adres of een e-mailadres, voorbeelden van persoonsgegevens. Ook andere zaken kunnen onder dit begrip vallen zoals geregistreerde aankopen, je belgedrag, de frequentie waarmee je de sportvereniging of fitnessclub bezoekt en de locatiegegevens van je smartphone. Kortom, alle gegevens die te herleiden zijn tot een uniek individu vallen onder het begrip ‘persoonsgegevens’.
De AVG wetgeving hetzelfde als de sleepwet?
Ten onrechte wordt er vaak een link gelegd met de zogenaamde Sleepwet. Deze wet heeft weinig te maken met de AVG. De Sleepwet, officieel de Wet op de inlichtingen- en veiligheidsdiensten, geeft inlichtingendiensten verregaande bevoegdheden om data te verzamelen met het oog op de nationale veiligheid. Zo mag men ongericht zoeken naar informatie of aanwijzingen, zonder een duidelijke aanwijzing. De AVG daarentegen richt zich op de bescherming van persoonsgegevens die bedrijven en organisaties beheren en verwerken.
Consument heeft recht op informatie
Elke onderneming hanteert een privacy statement. Hierin staat vermeld hoe men omgaat met de verzamelde persoonsgegevens. Met de invoering van de AVG zullen dergelijke statements moeten worden bijgewerkt. Dit geldt niet alleen voor onderneming, ook andere organisaties zoals verenigingen en stichtingen moeten duidelijk aangeven hoe lang de gegevens bijvoorbeeld bewaard blijven. Een ander voortvloeisel uit de AVG is dat consumenten actief moeten worden gewezen op hun rechten. Zo heeft elke consument het recht om de verzamelde data in te zien, te laten aanpassen, aanvullen of zelfs deze gegevens te laten verwijderen.
In het privacystatement moet verder worden opgenomen dat de consument het recht heeft om bezwaar te maken tegen het gebruik van zijn of haar persoonsgegevens en wat een organisatie die dergelijke gegevens beheerd en verwerkt, met die gegevens mag doen. Als de consument voor een bepaalde handeling toestemming heeft gegeven, bijvoorbeeld door de aanmelding voor een nieuwsbrief, moet de consument erop worden gewezen dat hij of zij deze toestemming ook weer kan intrekken.
Een ander belangrijk punt in de communicatie naar consumenten toe, is dat het duidelijk moet zijn dat een consument een klacht kan indienen en op welke manier dit moet gebeuren. Daarnaast zijn er een aantal zaken die minstens zo belangrijk zijn voor de consument en waar deze over moet worden ingelicht:
- Doorsturen van persoonsgegevens naar een land buiten de EU
- Waar de opgeslagen gegevens vandaan komen
- Hoe de opgeslagen gegevens zijn verzameld
“Consumenten hebben recht op inzage, uitleg en transparantie”, aldus onderzoeksjournalist Brenno de Winter. “Soms kan het zijn dat de inzage wordt geweigerd als er andere belangen zijn. Je hoort wel antwoord te krijgen.”
Recht op dataportabiliteit
Naast de eerder besproken rechten van consumenten in de AVG zijn er nog een aantal andere zaken die minder bekend zijn. Een voorbeeld is het recht op dataportabiliteit. Door middel van dir recht kan de consument makkelijker overstappen van de ene dienstverlener naar de andere. Dit is bijvoorbeeld het geval als je over wilt stappen naar een andere bank of een andere internetprovider. Op die manier hoeft de consument de reeds bekende gegevens niet nogmaals door te sturen. Consumenten krijgen dankzij de AVG dus meer controle over hun persoonsgegevens en het gebruik ervan.
Persoonlijke NAW gegevens laten verwijderen
Zoals al eerder werd aangegeven hebben consumenten het recht op verwijdering van hun gegevens. In veel gevallen kan de consument daartoe een verzoek indienen. Een dergelijk verzoek zal niet altijd gehonoreerd worden. Zo heeft de Belastingdienst de persoonsgegevens nodig om goed te kunnen functioneren. Ook een verzoek aan de sportvereniging waar een consument lid van is, zal weinig zin hebben, als de consument gewoon lid wenst te blijven. Heeft een bedrijf echter persoonsgegevens doorgestuurd naar een dochteronderneming, dan kan de consument verzoeken om de relevante gegevens te verwijderen.
Nieuwsbrieven voldoen ze aan de AVG wet?
Nieuwsbrieven zijn voor ondernemers en organisaties handige tools om de doelgroep te bereiken en te informeren. Veel bedrijven en organisaties hebben inmiddels de consumenten die zich in het verleden hebben aangemeld voor een nieuwsbrief, gewezen op de wijzigingen in hun privacy statement. Onder de AVG kan een onderneming of organisatie gewoon nieuwsbrieven blijven versturen. De enigste voorwaarden is dat het duidelijk is dat men zich specifiek heeft aangemeld voor het ontvangen van een nieuwsbrief.
Foto’s en andere content op sociale media plaatsen
Bij het plaatsen van foto’s op social media zoals Facebook, Twitter, Instagram enzovoort, heeft u ook te maken met de privacywetgeving. Het belangrijke punt is echter vanuit welke hoedanigheid de foto’s worden gepubliceerd. De standaardregel is dat er toestemming nodig is voor de publicatie. Doe toestemming is echter alleen vereist als het gaat om het beroepsmatig publiceren van afbeeldingen. In dat geval moeten de gezichten van de mensen of de foto onherkenbaar gemaakt worden (blurren).
Het plaatsen van foto’s van mensen kan dus onder de AVG wetgeving vallen, indien het plaatsen beroepsmatig gebeurd. Dit is bijvoorbeeld van toepassing op het portfolio van een fotograaf. Hij of zij heeft daarvoor expliciete toestemming nodig. Gaat het enkel om het plaatsen van foto’s op een persoonlijke blog of op uw eigen Twitter account, dan valt dit niet onder de AVG wetgeving.
Hoe om te gaan met minderjarigen op social media?
Ook voor het gebruik van social media is er enige bemoeienis vanuit de AVG. Dit heeft dan vooral te maken met de leeftijd, ook minderjarigen kunnen immers een Facebook-account aanmaken, bovendien zijn talloze apps juist gericht op jongeren. Voor kinderen die nog geen zestien jaar zijn, geldt dat de ouders toestemming moeten geven. Zo kan er gevraagd worden naar een geboortedatum, een creditcardbetaling of een kopie van een identiteitsbewijs. De reden is dat men op die manier wil vaststellen dat ouders toestemming geven. Op zich is dat vreemd omdat ‘toestemming’ geen grondslag is. Er bestaat immers al een overeenkomst.
Wat als een bedrijf zich niet houdt aan AVG wetgeving
Een gevolg van de AVG wetgeving is dat consumenten de mogelijkheid hebben om een melding te maken van een organisatie of onderneming indien deze zich niet aan de wet zou houden. De consument heeft in dat geval drie mogelijkheden:
- Het bedrijf informeren
- Klacht indienen bij de Autoriteit Persoonsgegevens
- De rechter vragen om een uitspraak te doen
AVG boetes
Houdt een onderneming of organisatie zich niet aan de bepalingen van de AVG wetgeving, dan kan de AP (Autoriteit Persoonsgegevens) een AVG boete opleggen. Deze boetes zijn over het algemeen behoorlijk hoog: tot twintig miljoen euro (of vier procent van de jaaromzet als dat meer is). De boete is op zich niet het grootste probleem voor een onderneming of organisatie. De handhaving en de mogelijkheid om maatregelen opgelegd te krijgen heeft een veel grotere impact. Ook consumenten kunnen beboet worden, al zal dat in de praktijk bijna nooit voorkomen.
