Wat betekent die nieuwe Europese privacywet voor ú?

GDPR? AVG? Allemaal termen voor hetzelfde: de nieuwe privacyverordening die is gemaakt op basis van Europese regels. De officiële Nederlandse term daarvoor is Algemene Verordening Gegevensbescherming, of AVG. De Engelse variant GDPR (General Data Protection Regulation) komt ook vaak voorbij. De nieuwe verordening vervangt de oude Europese regels uit 1995. Doel is om de consument beter te beschermen, dat zijn gegevens goed beveiligd zijn en dat er niet te veel data worden verzameld. Maar ook krijgt de burger makkelijker toegang tot zijn gegevens. Die maatregelen zijn hard nodig, want sinds 1995 is er nogal wat veranderd.

Hongerige datagrootmachten als Facebook en Google bestonden toen bijvoorbeeld nog niet. Maar het gaat niet alleen om bescherming tegen de grote, bekende techbedrijven die de dienst uitmaken. Ook overheden, ziekenhuizen, de sportclub of de eigen werkgever moeten eraan voldoen. Of eigenlijk: iedereen die op de een of andere manier gegevens van burgers gebruikt. Dat kan al het geval zijn als de bakker om de hoek een nieuwsbrief verstuurt. Wat gaat de burger nu in de praktijk van dit alles merken?

1. Nog even last van een uitpuilende mailbox

Allereerst (nu al) een volle mailbox met recente verzoeken van bedrijven om−al dan niet expliciet− met hun nieuwe voorwaarden in te stemmen of nog een keer te bevestigen dat die nieuwsbrief toch echt mag worden verstuurd. Hier zit ook een gevaar aan, denkt Stefan Kulk, jurist en onderzoeker bij de Universiteit Utrecht. ‘Ik vrees dat die consument echt niet bij iedere mail zorgvuldig door de voorwaarden gaat. Het risico is dat zo hetzelfde gebeurt als eerder bij de cookiewetgeving: mensen klikken blind op de toestemmingsknop. En dan schiet het zijn doel juist voorbij.’

Een ander punt voor Kulk is dat die consument niet altijd keus heeft. ‘Wat kan hij doen als hij het niet eens is met bijvoorbeeld de nieuwe voorwaarden van WhatsApp? Als je ze niet accepteert, kun je de hele dienst niet meer gebruiken.’ WhatsApp kwam recentelijk in het nieuws omdat de nieuwe voorwaarden laten doorschemeren dat eigenaar Facebook in de toekomst meer gegevens tussen WhatsApp en Facebook kan delen. Uiteindelijk moet de AVG toch echt leiden tot minder volle mailboxen. Zo’n vinkje dat al vooraf is ingevuld bij ‘ja, ik wil heel graag reclame ontvangen’? Dat mag echt niet meer.

2. Wel meer rechten voor de consument

Ter geruststelling voor de consument die nu denkt dat hij consciëntieus door alle voorwaarden moet akkeren: dat hoeft echt niet. De wet is er nu juist voor bedoeld om de consument te beschermen. Hij krijgt nu méér rechten. Het zijn de bedrijven die zich meer zorgen moeten maken.

Toch zijn er valkuilen. Zo maakte Facebook van de gelegenheid gebruik om zijn klanten meteen maar met een controversieel onderdeel van zijn voorwaarden te laten instemmen: gezichtsherkenning. Als de klant toch bezig is met het bekijken van een hele trits voorwaarden, kon dit mooi even worden meegenomen als extra optie. Overigens is het altijd mogelijk om toestemming achteraf weer in te trekken.

3. Recht op inzage en vergeten worden

Of het nu gaat om Google, de overheid, een school of de huisartsenpraktijk: de burger heeft recht om in te zien welke gegevens precies van hem opgeslagen zijn. De organisatie moet hier binnen één maand op antwoorden. Zo’n brief is niet ingewikkeld: Bits of Freedom, eenNederlandse beweging die opkomt voor internetvrijheid,heeft eenvoorbeeldbriefopgesteld.

‘Gegevens’ is overigens heel breed. Denk hierbij aan mailadressen, een Facebookprofiel, telefoonnummers, biometrische gegevens als vingerafdrukken, maar ook het elektronisch patiëntendossier of de data die de eigen werkgever heeft. De consument moet eenvoudig kunnen controleren of die gegevens wel kloppen en op de juiste manier zijn verzameld. Vervolgens moet hij die data kunnen rectificeren of (onder voorwaarden) laten verwijderen: ‘het recht om vergeten te worden’.

Dit soort rechten bestonden al, maar de drempel is aanzienlijk verlaagd omdat hiervoor geen vergoeding meer mag worden gevraagd. Tot slot krijgt de consument het recht om gegevens in een neutraal formaat mee te nemen. Concreet: de foto’s en likes op Facebook zouden moeten kunnen worden meegenomen naar een andere dienst.

4. Sommige diensten werken niet meer

Ook al komt de nieuwe verordening niet uit de lucht vallen, lang niet iedereen is er klaar voor. Vervelend voor de bedrijven, maar soms ook voor de consument. Zo heeft een aantal Amerikaanse diensten aan de noodrem getrokken door de toegang voor EU-burgers tijdelijk te blokkeren. Een erg draconische maatregel die noodzakelijk is zolang ze niet aan de verordening voldoen. Een voorbeeld is Instapaper, een dienst om online artikelen op te slaan en later terug te lezen. Instapaper belooft dat het tijdelijk is, maar andere diensten hebben helemaal geen zin in die strenge Europese regels.

5. Kinderen krijgen meer bescherming

Nog zo’n opvallende mededeling die gebruikers van WhatsApp onlangs kregen toen ze met de nieuwe voor-waarden werden geconfronteerd: iedereen moest ineens aangeven dat hij 16 jaar of ouder was. Een simpel ‘ja’ haalt de angel uit de vraag, maar de vraag komt niet uit de lucht vallen. Inderdaad: een rechtstreeks gevolg van de AVG. Ook het eerder genoemde ‘recht om vergeten te worden’ is met name voor kinderen handig in hun latere leven. Sowieso moeten ouders van kinderen onder 16 toestemming geven aan bedrijven als ze bijvoorbeeld een onlineprofiel van het kroost willen opbouwen.

En als het dan allemaal toch misgaat? Dan kan de burger zijn beklag doen bij de Autoriteit Persoonsgegevens. Dat is in Nederland de instantie die moet handhaven en bij grote zaken samenwerkt met collega-waakhonden in andere landen . En ook al is er ongetwijfeld van alles op de nieuwe AVG af te dingen, Kulk is positief:‘Door de AVG is het privacybewustzijn van mensen gegroeid, en dat is pure winst.’

Nieuwe Europese privacywetgeving komt erg laat en heeft zwakke plekken, maar toch is het een aanwinst

De bescherming door de AVG, de nieuwe Europese privacy-verordening, komt te laat en doet te weinig. En toch gaan we erop vooruit, analyseert Huib Modderkolk.

Van boeman naar beschermheer: zorgt succes nieuwe privacywetgeving voor imagoverbetering Europa?

Het imago van Europa is bij veel burgers dat van boeman en ongewenste indringer. Al die Brusselse regels, en voor wat? Maar de nieuwe privacywetgeving kan een trendbreuk blijken: dit kan Europa voor u betekenen.

Privacywaakhond heeft te weinig handhavers voor kleine bedrijven; vooral controle overheid en zorg

De Autoriteit Persoonsgegevens (AP) moet de nieuwe privacywet gaan handhaven. Maar ervaren mensen vertrekken en de Autoriteit zegt zelf dat ze haar pijlen komende twee jaar vooral zal richten op datalekken bij overheids- en zorgorganisaties. Kleine ondernemers hebben van de waakhond voorlopig weinig te vrezen.