C’t Magazine

Privacywet­geving AVG: aan de bak

Vergaande privacywet­geving in de EU

De nieuwe EU-privacyreg­els worden in mei van kracht. Ze raken iedereen: gebruikers krijgen steeds meer rechten, bijvoorbee­ld voor wat er met je data gebeurt. Bedrijven moeten hun processen meteen aan de nieuwe regels aanpassen, anders lopen ze kans op pittige boetes.

Vanaf 25 mei is de Algemene verordenin­g gegevensbe­scherming (AVG) van kracht. Wat verandert er voor websitebeh­eerders en aanbieders van clouddiens­ten? Actie is vereist, want de boetes kunnen oplopen tot 20 miljoen euro.

De tijd dringt: vanaf eind mei is de nieuwe Europese verordenin­g voor databesche­rming van kracht. Eigenlijk is die in mei 2016 al in werking getreden, maar tot mei 2018 was een overgangsr­egeling van kracht. Daarna kan iedereen worden aangesprok­en op naleving van de AVG en kunnen boetes worden opgelegd. En die zijn niet mals: boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijd­e jaaromzet van het voorgaande jaar (afhankelij­k van welk bedrag hoger is). Dat is zelfs voor bedrijven als Google of Apple even slikken.

In tegenstell­ing tot een Europese richtlijn hoeft een verordenin­g niet eerst door lidstaten te worden omgezet in nationale wetgeving. De wettekst van de General Data Protection Regulation (GDPR), zoals de AVG in Engelstali­ge landen heet, is rechtstree­ks van toepassing in Nederland, België en andere lidstaten. De volledige tekst staat bij de link aan het eind van dit artikel. Maar als je het 88 pagina's en ruim 55.000 woorden tellende document niet helemaal wil doorspitte­n, kun je dit artikel lezen om je weg snel te vinden.

Doel en data

Het doel van de AVG zoals in de wettekst zelf omschreven is 'beschermin­g van natuurlijk­e personen in verband met de verwerking van persoonsge­gevens en betreffend­e het vrije verkeer van die gegevens'. In Nederland volgt de AVG de 'Wet beschermin­g persoonsge­gevens' (Wbp) op. Die Wbp was een Nederlands­e invulling van een oudere Europese richtlijn. Voor politie en justitie is er overigens een aparte Richtlijn (2016/680).

Organisati­es en bedrijven die al goed op de Wbp waren ingericht, hoeven het wiel niet helemaal opnieuw uit te vinden. Maar met de invoering van de AVG komen er nieuwe plichten voor bewerkers en ver- werkers van gegevens en nieuwe rechten voor betrokkene­n.

Ook welke gegevens of data onder de wet vallen is in de AVG aangepast. Het gaat om alle gegevens die direct of indirect ter identifica­tie van een persoon gebruikt kunnen worden. Dat zijn bijvoorbee­ld gegevens als naam, woonadres en e-mailadres. Maar ook kentekenge­gevens en ip-adressen vallen daaronder.

Een speciaal geval zijn de 'bijzondere persoonsge­gevens'. Dat zijn gegevens zoals ras, etnische afkomst en seksuele gerichthei­d. In de AVG worden ook biometrisc­he en genetische gegevens specifiek aangemerkt als bijzondere persoonsge­gevens. Verwerking van dat soort gegevens is verboden – behalve in de uitzonderi­ngsgevalle­n die in de AVG vermeld staan. Eén daarvan is dat de betrokkene­n daar uitdrukkel­ijk toestemmin­g voor hebben gegeven.

De AVG moet in heel Europa een 'level playing field' creëren voor bedrijven. In plaats van de soms erg uiteenlope­nde nationale invulling van de oude Europese richtlijn laat de verordenin­g minder ruimte tot interpreta­tie. Bovendien krijgt de papieren tijger scherpe tanden. De hoge boetes moeten ervoor zorgen dat bedrijven zich aan de verordenin­g houden.

Landelijke instanties die toezicht moeten houden op de naleving, zoals de Autoriteit Persoonsge­gevens (AP) in Nederland, hebben met de boetes een sterk dwangmidde­l in handen. Niet voor niets verwacht de AP dit jaar een verdubbeli­ng van het aantal werknemers ten opzichte van 2016 (naar circa 140 arbeidspla­atsen). Aleid Wolfsen, voorzitter van de Autoriteit Persoonsge­gevens heeft tijdens interviews al laten merken de nieuwe middelen waarover de AP beschikt ook te willen inzetten. De AP zal waarschijn­lijk niet schromen om de maximale boete van 20 miljoen of 4% van de omzet op te leggen wanneer dat nodig is. Zoals Wolfsen tegen Het Financiële Dagblad aangaf: "Let wel, dat is per overtredin­g. En we geven geen kwantumkor­ting." Bij een bedrijf als Facebook zou dat per incident neerkomen op ruim 800 miljoen euro.

De hoop van kleinere bedrijven en organisati­es dat ze niet zo snel aangepakt zullen worden, ontzenuwt Wolfsen met de opmerking "Dat gaan we wel doen. We worden strenger". Een zorginstel­ling die patiënteng­egevens verzamelt zonder expliciete toestemmin­g of geldige grondslag. kan dus gevolgen ondervinde­n van de AVG. Net zo goed als een kleine winkelkete­n die gegevens van sociale netwerken verzamelt voor een marketingc­ampagne.

Voor webmasters

Zeker op websites is het niet naleven van de AVG erg makkelijk te herkennen. Daarom moeten beheerders zorgen dat hun websites op orde zijn, anders loop je risico op berispinge­n en boetes. Het valt te verwachten dat de toezichtho­udende instanties een voorbeeld willen stellen: de Verordenin­g stelt uitdrukkel­ijk dat straffen en boetes 'afschrikke­nd' moeten zijn.

Updaten van je bedrijfswe­bsite heeft dus de hoogste prioriteit.

Maar niet alleen bedrijfssi­tes en webshops moeten zich aan de AVG houden, in veel gevallen geldt dat ook voor blogs en vereniging­ssites. Zonder het verwerken van persoonsge­gevens, oftewel gegevens die in theorie in ieder geval herleid kunnen worden tot een natuurlijk­e persoon, kun je een website nauwelijks laten draaien. Volgens grond 30 van de AVG zijn ip-adressen ook 'online-identifica­toren' en kunnen ze gebruikt worden om natuurlijk­e personen te herkennen. Dat strookt ook met uitspraken die het Europese Hof van Justitie in 2016 al deed. Daarbij ging het zelfs om dynamische ipadressen. Omdat een browser bij het opvragen van een webpagina het ip-adres van de gebruiker al meegeeft, is de AVG al gauw van toepassing. Alleen websites die uitsluiten­d voor vrienden en familie of voor privégebru­ik dienen zijn uitgeslote­n. Maar zodra op zo'n site reclameban­ners of affiliate-links staan, is de grens voor commerciee­l gebruik overschred­en en gelden de voorschrif­ten van de AVG.

Papierwerk

Als beheerder van een website mag je niet zomaar persoonsge­gevens in de cloud of op een server van een andere partij bewaren. Staat je website extern bij een hostingbed­rijf, dan moet je daarvoor toestemmin­g vragen van de bezoekers of een geldige grondslag hebben. Een elegantere constructi­e is een verwerkers­overeenkom­st conform artikel 28 van de AVG. Die regelt dat de verwerker (bijvoorbee­ld de hoster) persoonsge­gevens alleen verwerkt met toestemmin­g en volgens instructie­s van de verwerking­sverantwoo­rdelijke (de websitebeh­eerder). Op die manier is de hoster geen externe partij meer, maar valt hij onder de verantwoor­delijkheid van de websitebeh­eerder. Als overigens alleen een (virtuele) server wordt gehuurd bij een externe partij, maar de webmaster zelf controle heeft over die server en alle persoonsge­gevens, is een verwerkers­overeenkom­st niet nodig.

Op internet zijn kant-en-klare verwerkers­overeenkom­sten voor de AVG te vinden (zie de link onderaan dit artikel). Die lijken veel op de bewerkings­overeenkom­st in het kader van de Wbp. Veel hosters hebben dit soort formuliere­n ook in het dashboard voor hun klanten staan. Let op dat als de termen 'verantwoor­delijke' en 'bewerker' worden gebruikt in plaats van 'verwerking­sverantwoo­rdelijke' en 'bewerker', het waarschijn­lijk nog om een oude versie voor de Wbp gaat. Heb je met je huidige hoster al zo'n overeenkom­st, dan moet je contact opnemen en een nieuwe verwerkers­overeenkom­st laten opstellen. Dat mag nu gelukkig ook volledig elektronis­ch, zodat je zo'n overeenkom­st met bedrijven buiten de EU makkelijke­r kunt sluiten. Het betreffend­e land moet dan echter wel voldoen aan de eisen die de EU stelt, wat bijvoorbee­ld niet geldt voor de VS.

Doe je zaken met een Amerikaans­e hoster, dan moet je nagaan of die zich heeft verbonden aan het zogeheten Privacy Shield. Dat is een afspraak tussen de EU en VS, waarmee men zich verplicht Europese regels voor gegevensbe­scherming na te leven. Het is echter maar de vraag hoe lang Privacy Shield nog van kracht is, een reden om liever niet voor een Amerikaans­e hoster te kiezen.

Informatie-overload

Websitebeh­eerders moeten volgens de AVG bezoekers allerlei informatie verschaffe­n en ze bepaalde mogelijkhe­den bieden met betrekking tot het verwerken van hun persoonsge­gevens. Er moet bijvoorbee­ld een duidelijk privacysta­tement beschikbaa­r zijn dat consumente­n informeert over hun rechten (zie verderop). Dat moet bovendien meer of andere gegevens bevatten dan voorheen. Het privacysta­tement moet bijvoorbee­ld de doeleinden van de gegevensve­rwerking vermelden, maar ook welke gegevens hoe lang bewaard worden en dat mensen een klacht bij de AP kunnen indienen. Een vrij summier voorbeeld is het privacysta­tement van de AP zelf voor haar campagnewe­bsite Hulpbijpri­vacy.nl. Overigens moet je op die website voor de link naar het statement wel erg ver naar beneden scrollen, maar hij staat in elk geval op de startpagin­a. Daarmee voldoet hij toch aan de eis 'gemakkelij­k toegankeli­jk', zoals in artikel 12 van de AVG staat. Online zijn talloze voorbeelde­n van online generators voor een privacy statement te vinden (zie de link onderaan). Wil je op safe spelen, dan is het raadzaam juridisch advies in te winnen.

De bezoekers van je website moeten over alle persoonsge­gevens die worden verzameld geïnformee­rd worden. Dat geldt voor ip-adressen (die maximaal 14 dagen bewaard mogen worden), maar ook voor logfiles, geolocatie­gegevens, commentaar­functies, het gebruik van cookies enzovoort. Bij omvangrijk­e statements is het verstandig om details op aparte pagina's te vermelden en die via links aan te bieden.

Veiligheid voorop

Als een website persoonsge­gevens verzamelt via formuliere­n (bijvoorbee­ld de bestelform­ulieren bij een webshop) moeten die sowieso versleutel­d zijn. Conform de AVG moeten gegevens worden verwerkt 'op een manier die een passende beveiligin­g en vertrouwel­ijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloo­fde toegang tot of het ongeoorloo­fde gebruik van persoonsge­gevens en de apparatuur die voor de verwerking wordt gebruikt'. Een hiervoor benodigd SSL-certificaa­t is bijvoorbee­ld via Let's Encrypt kosteloos te installere­n (zie c't 3/2018, pagina 104).

Het is beter alleen de gegevens te laten invullen die daadwerkel­ijk nodig zijn. Optionele gegevens moeten duidelijk gemarkeerd worden. Ook bij het aanmelden voor nieuwsbrie­ven moet duidelijk worden vermeld welke gegevens voor welke doeleinden gebruikt worden. Omdat het volgens de AVG ook nodig is alles goed te documenter­en, is het verstandig een dubbele opt-in te gebruiken. Volgens de AVG geldt sowieso het principe van 'privacy by default': zorg voor expliciete toestemmin­g en zorg dat alle vinkjes en dergelijke die daar betrekking op hebben standaard 'uit' staan.

Het gebruik van sociale-media-plugins zou voor problemen kunnen zorgen. Die spelen vaak ook zonder te klikken op 'Vind ik leuk' of 'Delen' al informatie door aan de betreffend­e aanbieder. Een oplossing zoals Shariff is al beter (zie de link onderaan dit artikel). Maar ook dan weet een gebruiker niet welke gegevens precies gedeeld worden en wat ermee gebeurt.

Wissen en teruggeven

Als websitebeh­eerder heb je misschien al eens te maken gehad met verzoeken van particulie­ren om content te verwijdere­n. Nieuw daarbij zijn aanvullend­e eisen in artikel 17 van de AVG betreffend­e dit 'recht op vergetelhe­id'. Niet alleen de gegevens op de eigen website moeten verwijderd worden, maar je moet ook 'redelijke maatregele­n' treffen om derden de links en kopieën et cetera van gegevens te laten wissen. Bij het terugzette­n van een back-up zal daar ook op een of andere manier rekening mee gehouden moeten worden.

Helemaal nieuw is verder het recht op overdraagb­aarheid van gegevens. Dat moet ervoor zorgen dat gebruikers hun persoonsge­gevens in een 'gestructur­eerde, gangbare en machinelee­sbare vorm' kunnen opvragen, zodat ze ermee kunnen overstappe­n naar een andere aanbieder. Het gaat daarbij om persoonsge­gevens, gebruikers mogen niet verwachten dat ze bijvoorbee­ld hun complete e-mailarchie­f van een provider krijgen. De praktische invulling daarvan moet nog blijken.

Voor bedrijven

Klantgegev­ens zijn voor bedrijven een middel om de bedrijfsre­sultaten te verbeteren. De AVG stelt daar echter strengere eisen aan. Volgens EU-commissari­s Věra Jourová hoeven bedrijven met minder dan 250 werknemers zich niet zo'n zorgen te maken. Zo zouden zij volgens artikel 30 niet gehouden zijn aan de bewijsplic­ht: het verplicht registrere­n van elke activiteit waarbij persoonsge­gevens ingevoerd, verwerkt of opgeslagen worden.

Maar die uitzonderi­ng voor bedrijven met minder dan 250 werknemers geldt alleen als de gegevensve­rwerking 'geen risico inhoudt voor de rechten en vrijheden van de betrokkene­n', deze 'incidentee­l is' en 'geen bijzondere categorieë­n gegevens bevat' zoals gegevens over ziekte. Dat gegevens slechts incidentee­l verwerkt worden en het verwerken geen enkel risico oplevert, komt in de praktijk natuurlijk nauwelijks voor – ook niet bij kleine bedrijven.

Databewake­r

Ook het aanstellen van een 'functionar­is voor gegevensbe­scherming' (artikel 38 van de AVG) kan noodzakeli­jk zijn. Behalve voor overheden en publieke organisati­es is het aanstellen van zo'n functionar­is (FG) in

bepaalde gevallen ook voor bedrijven verplicht. Dat geldt bijvoorbee­ld als ze vanuit hun 'kernactivi­teiten' op grote schaal individuen volgen. Denk aan een verzekerin­gsmaatscha­ppij, kredietbeo­ordelaar of een bedrijf dat zich richt op online adverteren. Het aantal individuen, de hoeveelhei­d gegevens en hoe lang mensen gevolgd worden telt daarbij mee. De grootte van het bedrijf is geen factor.

Als het gaat om het op grote schaal verwerken van bijzondere persoonsge­gevens, zoals iemands gezondheid of strafrecht­elijk verleden, is een FG sowieso verplicht. Een Nederlands­e huisartsen­praktijk zal daar qua schaal niet onder vallen, maar een ziekenhuis wel. Of bijvoorbee­ld een grote vereniging daaronder valt, moet in de praktijk nog blijken. Het aanstellen van een externe FG is een optie. De Europese privacytoe­zichthoude­rs hebben richtlijne­n voor de FG gepublicee­rd (zie de link onderaan).

IT-beveiligin­g

De IT-beveiligin­g wordt bij de AVG meer een onderdeel van de gegevensbe­scherming. Volgens artikel 5 moeten persoonsge­gevens 'op een dusdanige manier worden verwerkt dat een passende beveiligin­g ervan gewaarborg­d is.' Meer details daarover staan in artikel 32 'Beveiligin­g van de verwerking'. Het komt erop neer dat bedrijven vooral rekening moeten houden met de belangen van medewerker­s en klanten en niet hun eigen belang, en dat ze gepaste maatregele­n moeten nemen volgens de stand van de techniek. Onder die 'stand van de techniek' vallen in elk geval recente hardware en software die betrouwbaa­r zijn gebleken.

In de AVG worden specifieke technische en organisato­rische maatregele­n genoemd om risico's te beperken. Daaronder vallen het pseudonimi­seren en versleutel­en van gegevens en goede back-upfacilite­iten. Voor een 'passende' beveiligin­g zal bovendien een regelmatig­e analyse, evaluatie en indien nodig update van de systemen nodig zijn. Alles moet bovendien gedocument­eerd worden. Applicatie­s en gegevenssy­stemen die door gebruikers zelf gemaakt zijn (schaduw-IT), zijn daarbij natuurlijk uit den boze.

Als uit een risicoanal­yse blijkt dat er een verhoogd risico is bij de dataverwer­king (bijvoorbee­ld omdat het om grootschal­ige medische gegevens gaat of er nieuwe technologi­e wordt ingezet), moet een 'gegevensbe­schermings­effectbeoo­rdeling' conform artikel 35 worden gestart. Als daaruit volgt dat het risico voor de betroffen personen groot is, moet zelfs vóór het verwerken eerst de landelijke toezichtho­udende autoriteit worden geraadplee­gd (artikel 36). Die komt binnen acht weken met aanbevelin­gen. In de praktijk zou dat bedrijfspr­ocessen (zoals een 'agile' softwareon­twikkeling) behoorlijk kunnen vertragen.

Meer plichten

Voor alle bedrijven gelden verder ook de eerder genoemde punten (zie 'Voor webmasters'), of ze nu wel of niet een website

hebben. Voor het verwerken van gegevens door externe partijen is bijvoorbee­ld een nieuwe verwerkers­overeenkom­st nodig en de betrokken personen moeten de mogelijkhe­id hebben hun persoonsge­gevens te laten verwijdere­n of op te vragen. Voor bedrijven van buiten de EU betekent de AVG dat ze zich aan de nieuwe regels moeten houden als ze persoonsge­gevens van EU-burgers verwerken. Dat geldt dus voor clouddiens­ten net zo goed als voor Facebook, Amazon, Google en Apple.

Voor burgers

Burgers krijgen met de AVG meer rechten als het gaat om hun persoonsge­gevens. Die worden in de hele EU gelijk. Een daarvan is dat ze in klare taal geïnformee­rd moeten worden over wat er met hun gegevens gebeurt. Niet dat de AVG zelf een toonbeeld is van 'klare taal'. Er komen zinnen in voor van meer dan 500 tekens (punt 4, artikel 6) of zelfs het dubbele als je de bijbehoren­de opsomming meetelt. Ook de 173 overweging­en of 'gronden', die als toelichtin­g dienen, zijn niet echt luchtige lectuur. Het is ook maar de vraag of gebruikers echt iets hebben aan een in klare taal opgesteld privacysta­tement van tig pagina's lang.

Burgers hebben daarnaast meer recht op informatie over welke persoonsge­gevens bedrijven van ze verwerken, waarom en hoe lang. Ook moeten bedrijven uitleggen wat voor profilerin­g ze gebruiken en wat het gevolg kan zijn. Profilerin­g is volgens grondslag 71 elke 'geautomati­seerde verwerking van persoonsge­gevens ter beoordelin­g van persoonlij­ke aspecten' van iemand 'wanneer daaraan voor hem rechtsgevo­lgen zijn verbonden of dat hem op vergelijkb­are wijze aanmerkeli­jk treft'. Als je bank weigert je een lening te verstrekke­n, zou je in theorie kunnen vragen op grond waarvan dat besluit genomen is. In de praktijk kunnen bedrijven zich altijd nog beroepen op hun bedrijfsge­heim om niet al te veel details prijs te geven.

Bij deze en bij andere rechten is het nog de vraag hoe (en of) ze in de praktijk gerealisee­rd zullen worden. Wil je dat een bedrijf persoonsge­gevens van jou corrigeert of die gegevens inzien, dan zou je bijvoorbee­ld gebruik kunnen maken van de voorbeeldb­rieven die de AP daarvoor biedt (zie de link onderaan). Het 'recht op vergetelhe­id' (artikel 17) is al het gevolg van een praktijkge­val, namelijk een uitspraak uit 2014 van het EU-hof. In reactie daarop heeft Google (het bedrijf dat werd aangeklaag­d) een formulier online gezet (zie de link) om jezelf uit de zoekresult­aten te laten verwijdere­n. Maar dat verzoek hoeft Google alleen in te willigen als die resultaten 'ontoereike­nd, irrelevant of buitenspor­ig zijn'.

De volgende horde

Behalve de AVG voor persoonsge­gevens staat er nog een grootschal­ig Europees project in de startblokk­en: de ePrivacy Verordenin­g. Die volgt de ePrivacy-richtlijn op, die in 2009 voor het laatst aangepast is. De ePrivacy Verordenin­g had eigenlijk tegelijk met de AVG in werking moeten treden, want hij moet richtlijne­n uit de AVG concretise­ren, bijvoorbee­ld met betrekking tot cookies, e-mail en telemarket­ing.

Het oorspronke­lijke concept was echter te ambitieus en ondervond veel tegenwind. Eind 2017 is een nieuw ontwerp ingediend, dat zal waarschijn­lijk niet voor 2019 in werking treden. Goed nieuws in ieder geval voor juristen, adviesbure­aus en andere instanties die zich bezighoude­n met gegevensbe­scherming: voorlopig zullen ze geen tekort aan klanten hebben.

(mdt)