De nieuwe privacywetgeving in 5 vragen: wat verandert er voor jou?

22 mei 2018
Op vrijdag 25 mei krijgen de regels die bepalen hoe je moet omgaan met data en privacy van anderen, een belangrijke update. Overheden en bedrijven, maar ook kleine organisaties en verenigingen, moeten tegen die dag heel wat maatregelen nemen om privacyproof te zijn. Maar wat verandert er allemaal? En wat als je de nieuwe privacyregels niet respecteert?

De Europese privacywetgeving, de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) regelt hoe er moet worden omgegaan met persoonsgegevens. De wetgeving is eigenlijk niet helemaal nieuw. In België bestaat er sinds 1992 al een strenge privacywet die u heel veel rechten geeft, iets wat veel bedrijven en consumenten tot voor kort amper wisten.

De regels van 25 jaar geleden waren op bepaalde vlakken nogal vaag en vooral: er waren geen duidelijke sancties voor wie de regels niet naleefde. De nieuwe privacywetgeving, die van toepassing zal zijn in gans Europa, brengt daar nu verandering in: iedereen die gegevens van anderen verwerkt moet de regels volgen en wie dat niet doet riskeert boetes. Maar wat zijn die oude en nieuwe regels nu?

1. Welke gegevens worden beschermd?

De nieuwe wet beschermt alle gegevens die iets over jou als persoon zeggen. Dat gaat van je naam, telefoonnummer, adres en woonplaats tot je IP-adres, je surfgeschiedenis, je online winkelkarretje en wat je liket en sharet op social media. Er bestaat ook zoiets als “bijzondere persoonsgegevens”. Dit zijn gevoelige gegevens die extra beschermd moeten worden, zoals je godsdienst of gezondheid.

Zodra je al die gegevens deelt met anderen, moeten er speciale regels gerespecteerd worden. Gegevens delen met anderen kan je natuurlijk op verschillende manieren doen. Dat gaat van het invullen van een inschrijvingsformulier van de sportclub, tot het posten van een foto op Facebook of het bestellen van een boek op bol.com.

2. Hoe worden die gegevens beschermd?

De belangrijkste regel is dat bedrijven jouw gegevens niet zomaar mogen verzamelen en gebruiken. Dat kan enkel voor specifieke, in de wet vastgelegde doelen. Ze mogen enkel gegevens verzamelen als dat effectief nodig is voor een goede dienstverlening en moeten duidelijk aangeven waarom ze uw gegevens verzamelen. De NMBS-app mag bijvoorbeeld niet zo maar vragen naar je geboortedatum als ze niet kunnen aangeven wat ze met die informatie zullen doen om jou een betere dienstverlening aan te bieden.

Wie gegevens van anderen gebruikt en verzamelt, moet ook altijd kunnen aantonen dat dat zorgvuldig, veilig en verantwoordelijk gebeurt. De GDPR gaat hier vrij ver in en legt heel wat verplichtingen op om een "zorgvuldige en veilige gegevensverwerking" te garanderen. Zo moet er altijd een dataregister worden opgesteld: een duidelijk document waarin staat welke gegevens worden bijgehouden, waar deze vandaan komen en met wie ze worden gedeeld.

Bedrijven mogen niet zomaar eender wat bewaren en verwerken, laat staan doorspelen aan partners. Ze moeten ook een duidelijke privacyverklaring opstellen, waar je kan lezen wat ze verzamelen, waarvoor ze dat doen, of ze je gegevens doorgeven aan anderen en hoe lang ze die gegevens bijhouden. Die privacyverklaring moet in een heldere, eenvoudige taal worden opgesteld.

Sommige organisaties, zoals overheidsbedrijven en bedrijven die op grote schaal gegevens verwerken en die data regelmatig gebruiken, moeten ook een data protection officer (DPO) aanstellen. Dat is een duidelijk aanspreekpunt voor alle kwesties rond databescherming.

De GDPR introduceert ook "privacy by design & by default". Dat wil zeggen dat wanneer een product of dienst wordt bedacht, privacy van in het begin in rekening moet worden genomen. Vandaag gebeurt dat vaak op het einde, wanneer alle andere processen al in rekening genomen zijn.

3. Wie moet die strengere regels respecteren?

Overheden en bedrijven, maar ook kleinere organisaties en verenigingen. Kortom, iedereen die informatie van anderen bijhoudt. Dat gaat van ziekenfondsen en verzekeringen, tot grote bedrijven zoals Facebook, Zalando en Youtube.

Maar ook jeugdbewegingen, sportclubs en kleine vzw’s vallen onder de GDPR: ze zijn verantwoordelijk voor de gegevens die ze verwerken en moeten dus altijd kunnen zeggen hoe en waarom ze dat doen.

4. Welke rechten heb je zelf?

Iedereen die gegevens van zichzelf prijsgeeft, krijgt door de GDPR belangrijke rechten. Zo heb je altijd het recht om op te vragen welke gegevens er worden bewaard, hoe die werden verzameld, wat er mee gebeurt, waarom ze worden gebruikt en hoe lang ze worden bewaard. Je kan ook altijd vragen om die gegevens te verbeteren of om ze te laten wissen. Je kan dus bijvoorbeeld altijd vragen dat een website jouw foto offline haalt.

In bepaalde gevallen zullen bedrijven en verenigingen enkel jouw gegevens mogen verzamelen als je daar uitdrukkelijk toestemming voor hebt gegeven. En dat wordt door de GDPR moeilijker. Het op voorhand aangeduide vinkje bij ‘ik ga akkoord met uw privacybeleid’ volstaat niet. De toestemming moet specifiek, geïnformeerd en ondubbelzinnig zijn. Bovendien moet een toestemming intrekken even gemakkelijk zijn als een toestemming geven.

Toestemming intrekken moet even gemakkelijk zijn als toestemming geven.

Je moet ook altijd geïnformeerd worden als uw gegevens door een datalek vrijkomen en je kan bedrijven ook altijd vragen om uw gegevens te krijgen in een bruikbaar elektronisch formaat, om ze elders te kunnen gebruiken. Dat kan handig zijn als u je mails wil overzetten van bijvoorbeeld Gmail naar Outlook.

5. Wat als de regels niet worden gerespecteerd?

Wanneer je vermoedt dat jouw gegevens worden misbruikt of bedrijven geen antwoord geven op je vragen, kan je contact opnemen met de Gegevensbeschermingsautoriteit – de vroegere Privacycommissie. Die zal vanaf 25 mei controleren of iedereen de nieuwe privacywetgeving respecteert. Bedrijven en organisaties die dat niet doen, riskeren boetes tot twintig miljoen euro of tot vier procent van de globale jaaromzet, afhankelijk van welk bedrag het hoogste is.

Wie de regels niet respecteert, riskeert boetes tot twintig miljoen euro.

Wie vragen heeft over de nieuwe wetgeving kan ook aankloppen bij de Gegevensbeschermingsautoriteit. Er is ook een speciale website voor jongeren: ikbeslis.be.

Wat moet je als bedrijf doen om in orde te zijn? Bekijk de video van Unizo:

Herbeluister ook de uitzending van Hautekiet:

Bron: vrtnws.be en 'Hautekiet'

Lees ook:

Radio 1 Select