Privacywetgeving AVG: aan de bak
Vergaande privacywetgeving in de EU
De nieuwe EU-privacyregels worden in mei van kracht. Ze raken iedereen: gebruikers krijgen steeds meer rechten, bijvoorbeeld voor wat er met je data gebeurt. Bedrijven moeten hun processen meteen aan de nieuwe regels aanpassen, anders lopen ze kans op pittige boetes.
Vanaf 25 mei is de Algemene verordening gegevensbescherming (AVG) van kracht. Wat verandert er voor websitebeheerders en aanbieders van clouddiensten? Actie is vereist, want de boetes kunnen oplopen tot 20 miljoen euro.
De tijd dringt: vanaf eind mei is de nieuwe Europese verordening voor databescherming van kracht. Eigenlijk is die in mei 2016 al in werking getreden, maar tot mei 2018 was een overgangsregeling van kracht. Daarna kan iedereen worden aangesproken op naleving van de AVG en kunnen boetes worden opgelegd. En die zijn niet mals: boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van het voorgaande jaar (afhankelijk van welk bedrag hoger is). Dat is zelfs voor bedrijven als Google of Apple even slikken.
In tegenstelling tot een Europese richtlijn hoeft een verordening niet eerst door lidstaten te worden omgezet in nationale wetgeving. De wettekst van de General Data Protection Regulation (GDPR), zoals de AVG in Engelstalige landen heet, is rechtstreeks van toepassing in Nederland, België en andere lidstaten. De volledige tekst staat bij de link aan het eind van dit artikel. Maar als je het 88 pagina's en ruim 55.000 woorden tellende document niet helemaal wil doorspitten, kun je dit artikel lezen om je weg snel te vinden.
Doel en data
Het doel van de AVG zoals in de wettekst zelf omschreven is 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In Nederland volgt de AVG de 'Wet bescherming persoonsgegevens' (Wbp) op. Die Wbp was een Nederlandse invulling van een oudere Europese richtlijn. Voor politie en justitie is er overigens een aparte Richtlijn (2016/680).
Organisaties en bedrijven die al goed op de Wbp waren ingericht, hoeven het wiel niet helemaal opnieuw uit te vinden. Maar met de invoering van de AVG komen er nieuwe plichten voor bewerkers en ver- werkers van gegevens en nieuwe rechten voor betrokkenen.
Ook welke gegevens of data onder de wet vallen is in de AVG aangepast. Het gaat om alle gegevens die direct of indirect ter identificatie van een persoon gebruikt kunnen worden. Dat zijn bijvoorbeeld gegevens als naam, woonadres en e-mailadres. Maar ook kentekengegevens en ip-adressen vallen daaronder.
Een speciaal geval zijn de 'bijzondere persoonsgegevens'. Dat zijn gegevens zoals ras, etnische afkomst en seksuele gerichtheid. In de AVG worden ook biometrische en genetische gegevens specifiek aangemerkt als bijzondere persoonsgegevens. Verwerking van dat soort gegevens is verboden – behalve in de uitzonderingsgevallen die in de AVG vermeld staan. Eén daarvan is dat de betrokkenen daar uitdrukkelijk toestemming voor hebben gegeven.
De AVG moet in heel Europa een 'level playing field' creëren voor bedrijven. In plaats van de soms erg uiteenlopende nationale invulling van de oude Europese richtlijn laat de verordening minder ruimte tot interpretatie. Bovendien krijgt de papieren tijger scherpe tanden. De hoge boetes moeten ervoor zorgen dat bedrijven zich aan de verordening houden.
Landelijke instanties die toezicht moeten houden op de naleving, zoals de Autoriteit Persoonsgegevens (AP) in Nederland, hebben met de boetes een sterk dwangmiddel in handen. Niet voor niets verwacht de AP dit jaar een verdubbeling van het aantal werknemers ten opzichte van 2016 (naar circa 140 arbeidsplaatsen). Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens heeft tijdens interviews al laten merken de nieuwe middelen waarover de AP beschikt ook te willen inzetten. De AP zal waarschijnlijk niet schromen om de maximale boete van 20 miljoen of 4% van de omzet op te leggen wanneer dat nodig is. Zoals Wolfsen tegen Het Financiële Dagblad aangaf: "Let wel, dat is per overtreding. En we geven geen kwantumkorting." Bij een bedrijf als Facebook zou dat per incident neerkomen op ruim 800 miljoen euro.
De hoop van kleinere bedrijven en organisaties dat ze niet zo snel aangepakt zullen worden, ontzenuwt Wolfsen met de opmerking "Dat gaan we wel doen. We worden strenger". Een zorginstelling die patiëntengegevens verzamelt zonder expliciete toestemming of geldige grondslag. kan dus gevolgen ondervinden van de AVG. Net zo goed als een kleine winkelketen die gegevens van sociale netwerken verzamelt voor een marketingcampagne.
Voor webmasters
Zeker op websites is het niet naleven van de AVG erg makkelijk te herkennen. Daarom moeten beheerders zorgen dat hun websites op orde zijn, anders loop je risico op berispingen en boetes. Het valt te verwachten dat de toezichthoudende instanties een voorbeeld willen stellen: de Verordening stelt uitdrukkelijk dat straffen en boetes 'afschrikkend' moeten zijn.
Updaten van je bedrijfswebsite heeft dus de hoogste prioriteit.
Maar niet alleen bedrijfssites en webshops moeten zich aan de AVG houden, in veel gevallen geldt dat ook voor blogs en verenigingssites. Zonder het verwerken van persoonsgegevens, oftewel gegevens die in theorie in ieder geval herleid kunnen worden tot een natuurlijke persoon, kun je een website nauwelijks laten draaien. Volgens grond 30 van de AVG zijn ip-adressen ook 'online-identificatoren' en kunnen ze gebruikt worden om natuurlijke personen te herkennen. Dat strookt ook met uitspraken die het Europese Hof van Justitie in 2016 al deed. Daarbij ging het zelfs om dynamische ipadressen. Omdat een browser bij het opvragen van een webpagina het ip-adres van de gebruiker al meegeeft, is de AVG al gauw van toepassing. Alleen websites die uitsluitend voor vrienden en familie of voor privégebruik dienen zijn uitgesloten. Maar zodra op zo'n site reclamebanners of affiliate-links staan, is de grens voor commercieel gebruik overschreden en gelden de voorschriften van de AVG.
Papierwerk
Als beheerder van een website mag je niet zomaar persoonsgegevens in de cloud of op een server van een andere partij bewaren. Staat je website extern bij een hostingbedrijf, dan moet je daarvoor toestemming vragen van de bezoekers of een geldige grondslag hebben. Een elegantere constructie is een verwerkersovereenkomst conform artikel 28 van de AVG. Die regelt dat de verwerker (bijvoorbeeld de hoster) persoonsgegevens alleen verwerkt met toestemming en volgens instructies van de verwerkingsverantwoordelijke (de websitebeheerder). Op die manier is de hoster geen externe partij meer, maar valt hij onder de verantwoordelijkheid van de websitebeheerder. Als overigens alleen een (virtuele) server wordt gehuurd bij een externe partij, maar de webmaster zelf controle heeft over die server en alle persoonsgegevens, is een verwerkersovereenkomst niet nodig.
Op internet zijn kant-en-klare verwerkersovereenkomsten voor de AVG te vinden (zie de link onderaan dit artikel). Die lijken veel op de bewerkingsovereenkomst in het kader van de Wbp. Veel hosters hebben dit soort formulieren ook in het dashboard voor hun klanten staan. Let op dat als de termen 'verantwoordelijke' en 'bewerker' worden gebruikt in plaats van 'verwerkingsverantwoordelijke' en 'bewerker', het waarschijnlijk nog om een oude versie voor de Wbp gaat. Heb je met je huidige hoster al zo'n overeenkomst, dan moet je contact opnemen en een nieuwe verwerkersovereenkomst laten opstellen. Dat mag nu gelukkig ook volledig elektronisch, zodat je zo'n overeenkomst met bedrijven buiten de EU makkelijker kunt sluiten. Het betreffende land moet dan echter wel voldoen aan de eisen die de EU stelt, wat bijvoorbeeld niet geldt voor de VS.
Doe je zaken met een Amerikaanse hoster, dan moet je nagaan of die zich heeft verbonden aan het zogeheten Privacy Shield. Dat is een afspraak tussen de EU en VS, waarmee men zich verplicht Europese regels voor gegevensbescherming na te leven. Het is echter maar de vraag hoe lang Privacy Shield nog van kracht is, een reden om liever niet voor een Amerikaanse hoster te kiezen.
Informatie-overload
Websitebeheerders moeten volgens de AVG bezoekers allerlei informatie verschaffen en ze bepaalde mogelijkheden bieden met betrekking tot het verwerken van hun persoonsgegevens. Er moet bijvoorbeeld een duidelijk privacystatement beschikbaar zijn dat consumenten informeert over hun rechten (zie verderop). Dat moet bovendien meer of andere gegevens bevatten dan voorheen. Het privacystatement moet bijvoorbeeld de doeleinden van de gegevensverwerking vermelden, maar ook welke gegevens hoe lang bewaard worden en dat mensen een klacht bij de AP kunnen indienen. Een vrij summier voorbeeld is het privacystatement van de AP zelf voor haar campagnewebsite Hulpbijprivacy.nl. Overigens moet je op die website voor de link naar het statement wel erg ver naar beneden scrollen, maar hij staat in elk geval op de startpagina. Daarmee voldoet hij toch aan de eis 'gemakkelijk toegankelijk', zoals in artikel 12 van de AVG staat. Online zijn talloze voorbeelden van online generators voor een privacy statement te vinden (zie de link onderaan). Wil je op safe spelen, dan is het raadzaam juridisch advies in te winnen.
De bezoekers van je website moeten over alle persoonsgegevens die worden verzameld geïnformeerd worden. Dat geldt voor ip-adressen (die maximaal 14 dagen bewaard mogen worden), maar ook voor logfiles, geolocatiegegevens, commentaarfuncties, het gebruik van cookies enzovoort. Bij omvangrijke statements is het verstandig om details op aparte pagina's te vermelden en die via links aan te bieden.
Veiligheid voorop
Als een website persoonsgegevens verzamelt via formulieren (bijvoorbeeld de bestelformulieren bij een webshop) moeten die sowieso versleuteld zijn. Conform de AVG moeten gegevens worden verwerkt 'op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt'. Een hiervoor benodigd SSL-certificaat is bijvoorbeeld via Let's Encrypt kosteloos te installeren (zie c't 3/2018, pagina 104).
Het is beter alleen de gegevens te laten invullen die daadwerkelijk nodig zijn. Optionele gegevens moeten duidelijk gemarkeerd worden. Ook bij het aanmelden voor nieuwsbrieven moet duidelijk worden vermeld welke gegevens voor welke doeleinden gebruikt worden. Omdat het volgens de AVG ook nodig is alles goed te documenteren, is het verstandig een dubbele opt-in te gebruiken. Volgens de AVG geldt sowieso het principe van 'privacy by default': zorg voor expliciete toestemming en zorg dat alle vinkjes en dergelijke die daar betrekking op hebben standaard 'uit' staan.
Het gebruik van sociale-media-plugins zou voor problemen kunnen zorgen. Die spelen vaak ook zonder te klikken op 'Vind ik leuk' of 'Delen' al informatie door aan de betreffende aanbieder. Een oplossing zoals Shariff is al beter (zie de link onderaan dit artikel). Maar ook dan weet een gebruiker niet welke gegevens precies gedeeld worden en wat ermee gebeurt.
Wissen en teruggeven
Als websitebeheerder heb je misschien al eens te maken gehad met verzoeken van particulieren om content te verwijderen. Nieuw daarbij zijn aanvullende eisen in artikel 17 van de AVG betreffende dit 'recht op vergetelheid'. Niet alleen de gegevens op de eigen website moeten verwijderd worden, maar je moet ook 'redelijke maatregelen' treffen om derden de links en kopieën et cetera van gegevens te laten wissen. Bij het terugzetten van een back-up zal daar ook op een of andere manier rekening mee gehouden moeten worden.
Helemaal nieuw is verder het recht op overdraagbaarheid van gegevens. Dat moet ervoor zorgen dat gebruikers hun persoonsgegevens in een 'gestructureerde, gangbare en machineleesbare vorm' kunnen opvragen, zodat ze ermee kunnen overstappen naar een andere aanbieder. Het gaat daarbij om persoonsgegevens, gebruikers mogen niet verwachten dat ze bijvoorbeeld hun complete e-mailarchief van een provider krijgen. De praktische invulling daarvan moet nog blijken.
Voor bedrijven
Klantgegevens zijn voor bedrijven een middel om de bedrijfsresultaten te verbeteren. De AVG stelt daar echter strengere eisen aan. Volgens EU-commissaris Věra Jourová hoeven bedrijven met minder dan 250 werknemers zich niet zo'n zorgen te maken. Zo zouden zij volgens artikel 30 niet gehouden zijn aan de bewijsplicht: het verplicht registreren van elke activiteit waarbij persoonsgegevens ingevoerd, verwerkt of opgeslagen worden.
Maar die uitzondering voor bedrijven met minder dan 250 werknemers geldt alleen als de gegevensverwerking 'geen risico inhoudt voor de rechten en vrijheden van de betrokkenen', deze 'incidenteel is' en 'geen bijzondere categorieën gegevens bevat' zoals gegevens over ziekte. Dat gegevens slechts incidenteel verwerkt worden en het verwerken geen enkel risico oplevert, komt in de praktijk natuurlijk nauwelijks voor – ook niet bij kleine bedrijven.
Databewaker
Ook het aanstellen van een 'functionaris voor gegevensbescherming' (artikel 38 van de AVG) kan noodzakelijk zijn. Behalve voor overheden en publieke organisaties is het aanstellen van zo'n functionaris (FG) in
bepaalde gevallen ook voor bedrijven verplicht. Dat geldt bijvoorbeeld als ze vanuit hun 'kernactiviteiten' op grote schaal individuen volgen. Denk aan een verzekeringsmaatschappij, kredietbeoordelaar of een bedrijf dat zich richt op online adverteren. Het aantal individuen, de hoeveelheid gegevens en hoe lang mensen gevolgd worden telt daarbij mee. De grootte van het bedrijf is geen factor.
Als het gaat om het op grote schaal verwerken van bijzondere persoonsgegevens, zoals iemands gezondheid of strafrechtelijk verleden, is een FG sowieso verplicht. Een Nederlandse huisartsenpraktijk zal daar qua schaal niet onder vallen, maar een ziekenhuis wel. Of bijvoorbeeld een grote vereniging daaronder valt, moet in de praktijk nog blijken. Het aanstellen van een externe FG is een optie. De Europese privacytoezichthouders hebben richtlijnen voor de FG gepubliceerd (zie de link onderaan).
IT-beveiliging
De IT-beveiliging wordt bij de AVG meer een onderdeel van de gegevensbescherming. Volgens artikel 5 moeten persoonsgegevens 'op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is.' Meer details daarover staan in artikel 32 'Beveiliging van de verwerking'. Het komt erop neer dat bedrijven vooral rekening moeten houden met de belangen van medewerkers en klanten en niet hun eigen belang, en dat ze gepaste maatregelen moeten nemen volgens de stand van de techniek. Onder die 'stand van de techniek' vallen in elk geval recente hardware en software die betrouwbaar zijn gebleken.
In de AVG worden specifieke technische en organisatorische maatregelen genoemd om risico's te beperken. Daaronder vallen het pseudonimiseren en versleutelen van gegevens en goede back-upfaciliteiten. Voor een 'passende' beveiliging zal bovendien een regelmatige analyse, evaluatie en indien nodig update van de systemen nodig zijn. Alles moet bovendien gedocumenteerd worden. Applicaties en gegevenssystemen die door gebruikers zelf gemaakt zijn (schaduw-IT), zijn daarbij natuurlijk uit den boze.
Als uit een risicoanalyse blijkt dat er een verhoogd risico is bij de dataverwerking (bijvoorbeeld omdat het om grootschalige medische gegevens gaat of er nieuwe technologie wordt ingezet), moet een 'gegevensbeschermingseffectbeoordeling' conform artikel 35 worden gestart. Als daaruit volgt dat het risico voor de betroffen personen groot is, moet zelfs vóór het verwerken eerst de landelijke toezichthoudende autoriteit worden geraadpleegd (artikel 36). Die komt binnen acht weken met aanbevelingen. In de praktijk zou dat bedrijfsprocessen (zoals een 'agile' softwareontwikkeling) behoorlijk kunnen vertragen.
Meer plichten
Voor alle bedrijven gelden verder ook de eerder genoemde punten (zie 'Voor webmasters'), of ze nu wel of niet een website
hebben. Voor het verwerken van gegevens door externe partijen is bijvoorbeeld een nieuwe verwerkersovereenkomst nodig en de betrokken personen moeten de mogelijkheid hebben hun persoonsgegevens te laten verwijderen of op te vragen. Voor bedrijven van buiten de EU betekent de AVG dat ze zich aan de nieuwe regels moeten houden als ze persoonsgegevens van EU-burgers verwerken. Dat geldt dus voor clouddiensten net zo goed als voor Facebook, Amazon, Google en Apple.
Voor burgers
Burgers krijgen met de AVG meer rechten als het gaat om hun persoonsgegevens. Die worden in de hele EU gelijk. Een daarvan is dat ze in klare taal geïnformeerd moeten worden over wat er met hun gegevens gebeurt. Niet dat de AVG zelf een toonbeeld is van 'klare taal'. Er komen zinnen in voor van meer dan 500 tekens (punt 4, artikel 6) of zelfs het dubbele als je de bijbehorende opsomming meetelt. Ook de 173 overwegingen of 'gronden', die als toelichting dienen, zijn niet echt luchtige lectuur. Het is ook maar de vraag of gebruikers echt iets hebben aan een in klare taal opgesteld privacystatement van tig pagina's lang.
Burgers hebben daarnaast meer recht op informatie over welke persoonsgegevens bedrijven van ze verwerken, waarom en hoe lang. Ook moeten bedrijven uitleggen wat voor profilering ze gebruiken en wat het gevolg kan zijn. Profilering is volgens grondslag 71 elke 'geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten' van iemand 'wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft'. Als je bank weigert je een lening te verstrekken, zou je in theorie kunnen vragen op grond waarvan dat besluit genomen is. In de praktijk kunnen bedrijven zich altijd nog beroepen op hun bedrijfsgeheim om niet al te veel details prijs te geven.
Bij deze en bij andere rechten is het nog de vraag hoe (en of) ze in de praktijk gerealiseerd zullen worden. Wil je dat een bedrijf persoonsgegevens van jou corrigeert of die gegevens inzien, dan zou je bijvoorbeeld gebruik kunnen maken van de voorbeeldbrieven die de AP daarvoor biedt (zie de link onderaan). Het 'recht op vergetelheid' (artikel 17) is al het gevolg van een praktijkgeval, namelijk een uitspraak uit 2014 van het EU-hof. In reactie daarop heeft Google (het bedrijf dat werd aangeklaagd) een formulier online gezet (zie de link) om jezelf uit de zoekresultaten te laten verwijderen. Maar dat verzoek hoeft Google alleen in te willigen als die resultaten 'ontoereikend, irrelevant of buitensporig zijn'.
De volgende horde
Behalve de AVG voor persoonsgegevens staat er nog een grootschalig Europees project in de startblokken: de ePrivacy Verordening. Die volgt de ePrivacy-richtlijn op, die in 2009 voor het laatst aangepast is. De ePrivacy Verordening had eigenlijk tegelijk met de AVG in werking moeten treden, want hij moet richtlijnen uit de AVG concretiseren, bijvoorbeeld met betrekking tot cookies, e-mail en telemarketing.
Het oorspronkelijke concept was echter te ambitieus en ondervond veel tegenwind. Eind 2017 is een nieuw ontwerp ingediend, dat zal waarschijnlijk niet voor 2019 in werking treden. Goed nieuws in ieder geval voor juristen, adviesbureaus en andere instanties die zich bezighouden met gegevensbescherming: voorlopig zullen ze geen tekort aan klanten hebben.
(mdt)