Pri­va­cy­wet­ge­ving AVG: aan de bak

Ver­gaan­de pri­va­cy­wet­ge­ving in de EU

C’t Magazine - - Inhoud - Hol­ger Bleich, Joerg Heid­rich, Ni­co­las Mae­ke­ler, Mar­co den Teu­ling

De nieu­we EU-pri­va­cy­re­gels wor­den in mei van kracht. Ze ra­ken ie­der­een: ge­brui­kers krij­gen steeds meer rech­ten, bij­voor­beeld voor wat er met je da­ta ge­beurt. Be­drij­ven moe­ten hun pro­ces­sen met­een aan de nieu­we re­gels aan­pas­sen, an­ders lo­pen ze kans op pit­ti­ge boe­tes.

Van­af 25 mei is de Al­ge­me­ne ver­or­de­ning ge­ge­vens­be­scher­ming (AVG) van kracht. Wat ver­an­dert er voor web­si­te­be­heer­ders en aan­bie­ders van cloud­dien­sten? Ac­tie is ver­eist, want de boe­tes kun­nen op­lo­pen tot 20 mil­joen eu­ro.

De tijd dringt: van­af eind mei is de nieu­we Eu­ro­pe­se ver­or­de­ning voor da­ta­be­scher­ming van kracht. Ei­gen­lijk is die in mei 2016 al in wer­king ge­tre­den, maar tot mei 2018 was een over­gangs­re­ge­ling van kracht. Daar­na kan ie­der­een wor­den aan­ge­spro­ken op na­le­ving van de AVG en kun­nen boe­tes wor­den op­ge­legd. En die zijn niet mals: boe­tes kun­nen op­lo­pen tot 20 mil­joen eu­ro of 4 pro­cent van de we­reld­wij­de jaar­om­zet van het voor­gaan­de jaar (af­han­ke­lijk van welk be­drag ho­ger is). Dat is zelfs voor be­drij­ven als Goog­le of Ap­ple even slik­ken.

In te­gen­stel­ling tot een Eu­ro­pe­se richt­lijn hoeft een ver­or­de­ning niet eerst door lid­sta­ten te wor­den om­ge­zet in na­ti­o­na­le wet­ge­ving. De wet­tekst van de Ge­ne­ral Da­ta Pro­tec­ti­on Re­gu­la­ti­on (GDPR), zo­als de AVG in En­gels­ta­li­ge lan­den heet, is recht­streeks van toe­pas­sing in Ne­der­land, Bel­gië en an­de­re lid­sta­ten. De vol­le­di­ge tekst staat bij de link aan het eind van dit ar­ti­kel. Maar als je het 88 pa­gi­na's en ruim 55.000 woor­den tel­len­de do­cu­ment niet he­le­maal wil door­spit­ten, kun je dit ar­ti­kel le­zen om je weg snel te vin­den.

Doel en da­ta

Het doel van de AVG zo­als in de wet­tekst zelf om­schre­ven is 'be­scher­ming van na­tuur­lij­ke per­so­nen in ver­band met de ver­wer­king van per­soons­ge­ge­vens en be­tref­fen­de het vrije ver­keer van die ge­ge­vens'. In Ne­der­land volgt de AVG de 'Wet be­scher­ming per­soons­ge­ge­vens' (Wbp) op. Die Wbp was een Ne­der­land­se in­vul­ling van een ou­de­re Eu­ro­pe­se richt­lijn. Voor po­li­tie en jus­ti­tie is er ove­ri­gens een apar­te Richt­lijn (2016/680).

Or­ga­ni­sa­ties en be­drij­ven die al goed op de Wbp wa­ren in­ge­richt, hoe­ven het wiel niet he­le­maal op­nieuw uit te vin­den. Maar met de in­voe­ring van de AVG ko­men er nieu­we plich­ten voor be­wer­kers en ver- wer­kers van ge­ge­vens en nieu­we rech­ten voor be­trok­ke­nen.

Ook wel­ke ge­ge­vens of da­ta on­der de wet val­len is in de AVG aan­ge­past. Het gaat om al­le ge­ge­vens die di­rect of in­di­rect ter iden­ti­fi­ca­tie van een per­soon ge­bruikt kun­nen wor­den. Dat zijn bij­voor­beeld ge­ge­vens als naam, woon­adres en e-mail­adres. Maar ook ken­te­ken­ge­ge­vens en ip-adres­sen val­len daar­on­der.

Een spe­ci­aal ge­val zijn de 'bij­zon­de­re per­soons­ge­ge­vens'. Dat zijn ge­ge­vens zo­als ras, et­ni­sche af­komst en sek­su­e­le ge­richt­heid. In de AVG wor­den ook bi­o­me­tri­sche en ge­ne­ti­sche ge­ge­vens spe­ci­fiek aan­ge­merkt als bij­zon­de­re per­soons­ge­ge­vens. Ver­wer­king van dat soort ge­ge­vens is ver­bo­den – be­hal­ve in de uit­zon­de­rings­ge­val­len die in de AVG ver­meld staan. Eén daar­van is dat de be­trok­ke­nen daar uit­druk­ke­lijk toe­stem­ming voor heb­ben ge­ge­ven.

De AVG moet in heel Eu­ro­pa een 'le­vel playing field' cre­ë­ren voor be­drij­ven. In plaats van de soms erg uit­een­lo­pen­de na­ti­o­na­le in­vul­ling van de ou­de Eu­ro­pe­se richt­lijn laat de ver­or­de­ning min­der ruim­te tot in­ter­pre­ta­tie. Bo­ven­dien krijgt de pa­pie­ren tij­ger scher­pe tan­den. De ho­ge boe­tes moe­ten er­voor zor­gen dat be­drij­ven zich aan de ver­or­de­ning hou­den.

Lan­de­lij­ke in­stan­ties die toe­zicht moe­ten hou­den op de na­le­ving, zo­als de Au­to­ri­teit Per­soons­ge­ge­vens (AP) in Ne­der­land, heb­ben met de boe­tes een sterk dwang­mid­del in han­den. Niet voor niets ver­wacht de AP dit jaar een ver­dub­be­ling van het aan­tal werk­ne­mers ten op­zich­te van 2016 (naar cir­ca 140 ar­beids­plaat­sen). Aleid Wolf­sen, voor­zit­ter van de Au­to­ri­teit Per­soons­ge­ge­vens heeft tij­dens in­ter­views al la­ten mer­ken de nieu­we mid­de­len waar­over de AP be­schikt ook te wil­len in­zet­ten. De AP zal waar­schijn­lijk niet schro­men om de maxi­ma­le boe­te van 20 mil­joen of 4% van de om­zet op te leg­gen wan­neer dat no­dig is. Zo­als Wolf­sen te­gen Het Fi­nan­ci­ë­le Dagblad aan­gaf: "Let wel, dat is per over­tre­ding. En we ge­ven geen kwan­tum­kor­ting." Bij een be­drijf als Fa­ce­book zou dat per in­ci­dent neer­ko­men op ruim 800 mil­joen eu­ro.

De hoop van klei­ne­re be­drij­ven en or­ga­ni­sa­ties dat ze niet zo snel aan­ge­pakt zul­len wor­den, ont­ze­nuwt Wolf­sen met de op­mer­king "Dat gaan we wel doen. We wor­den stren­ger". Een zorg­in­stel­ling die pa­ti­ën­ten­ge­ge­vens ver­za­melt zon­der ex­pli­cie­te toe­stem­ming of gel­di­ge grond­slag. kan dus ge­vol­gen on­der­vin­den van de AVG. Net zo goed als een klei­ne win­kel­ke­ten die ge­ge­vens van so­ci­a­le net­wer­ken ver­za­melt voor een mar­ke­ting­cam­pag­ne.

Voor web­mas­ters

Ze­ker op web­si­tes is het niet na­le­ven van de AVG erg mak­ke­lijk te her­ken­nen. Daar­om moe­ten be­heer­ders zor­gen dat hun web­si­tes op or­de zijn, an­ders loop je ri­si­co op be­ris­pin­gen en boe­tes. Het valt te ver­wach­ten dat de toe­zicht­hou­den­de in­stan­ties een voor­beeld wil­len stel­len: de Ver­or­de­ning stelt uit­druk­ke­lijk dat straf­fen en boe­tes 'af­schrik­kend' moe­ten zijn.

Up­da­ten van je be­drijfs­web­si­te heeft dus de hoog­ste pri­o­ri­teit.

Maar niet al­leen be­drijfs­si­tes en web­shops moe­ten zich aan de AVG hou­den, in veel ge­val­len geldt dat ook voor blogs en ver­e­ni­gings­si­tes. Zon­der het ver­wer­ken van per­soons­ge­ge­vens, of­te­wel ge­ge­vens die in the­o­rie in ie­der ge­val her­leid kun­nen wor­den tot een na­tuur­lij­ke per­soon, kun je een web­si­te nau­we­lijks la­ten draai­en. Vol­gens grond 30 van de AVG zijn ip-adres­sen ook 'on­li­ne-iden­ti­fi­ca­to­ren' en kun­nen ze ge­bruikt wor­den om na­tuur­lij­ke per­so­nen te her­ken­nen. Dat strookt ook met uit­spra­ken die het Eu­ro­pe­se Hof van Jus­ti­tie in 2016 al deed. Daar­bij ging het zelfs om dy­na­mi­sche ipadres­sen. Om­dat een brow­ser bij het op­vra­gen van een web­pa­gi­na het ip-adres van de ge­brui­ker al mee­geeft, is de AVG al gauw van toe­pas­sing. Al­leen web­si­tes die uit­slui­tend voor vrien­den en fa­mi­lie of voor pri­vé­ge­bruik die­nen zijn uit­ge­slo­ten. Maar zo­dra op zo'n si­te re­cla­me­ban­ners of af­fi­li­a­te-links staan, is de grens voor com­mer­ci­eel ge­bruik over­schre­den en gel­den de voor­schrif­ten van de AVG.

Pa­pier­werk

Als be­heer­der van een web­si­te mag je niet zo­maar per­soons­ge­ge­vens in de cloud of op een ser­ver van een an­de­re par­tij be­wa­ren. Staat je web­si­te ex­tern bij een hos­ting­be­drijf, dan moet je daar­voor toe­stem­ming vra­gen van de be­zoe­kers of een gel­di­ge grond­slag heb­ben. Een ele­gan­te­re con­struc­tie is een ver­wer­kers­over­een­komst con­form ar­ti­kel 28 van de AVG. Die re­gelt dat de ver­wer­ker (bij­voor­beeld de hos­ter) per­soons­ge­ge­vens al­leen ver­werkt met toe­stem­ming en vol­gens in­struc­ties van de ver­wer­kings­ver­ant­woor­de­lij­ke (de web­si­te­be­heer­der). Op die ma­nier is de hos­ter geen ex­ter­ne par­tij meer, maar valt hij on­der de ver­ant­woor­de­lijk­heid van de web­si­te­be­heer­der. Als ove­ri­gens al­leen een (vir­tu­e­le) ser­ver wordt ge­huurd bij een ex­ter­ne par­tij, maar de web­mas­ter zelf con­tro­le heeft over die ser­ver en al­le per­soons­ge­ge­vens, is een ver­wer­kers­over­een­komst niet no­dig.

Op in­ter­net zijn kant-en-kla­re ver­wer­kers­over­een­kom­sten voor de AVG te vin­den (zie de link on­der­aan dit ar­ti­kel). Die lij­ken veel op de be­wer­kings­over­een­komst in het ka­der van de Wbp. Veel hos­ters heb­ben dit soort for­mu­lie­ren ook in het dash­board voor hun klan­ten staan. Let op dat als de ter­men 'ver­ant­woor­de­lij­ke' en 'be­wer­ker' wor­den ge­bruikt in plaats van 'ver­wer­kings­ver­ant­woor­de­lij­ke' en 'be­wer­ker', het waar­schijn­lijk nog om een ou­de ver­sie voor de Wbp gaat. Heb je met je hui­di­ge hos­ter al zo'n over­een­komst, dan moet je con­tact op­ne­men en een nieu­we ver­wer­kers­over­een­komst la­ten op­stel­len. Dat mag nu ge­luk­kig ook vol­le­dig elek­tro­nisch, zo­dat je zo'n over­een­komst met be­drij­ven bui­ten de EU mak­ke­lij­ker kunt slui­ten. Het be­tref­fen­de land moet dan ech­ter wel vol­doen aan de ei­sen die de EU stelt, wat bij­voor­beeld niet geldt voor de VS.

Doe je za­ken met een Ame­ri­kaan­se hos­ter, dan moet je na­gaan of die zich heeft ver­bon­den aan het zo­ge­he­ten Pri­va­cy Shield. Dat is een af­spraak tus­sen de EU en VS, waar­mee men zich ver­plicht Eu­ro­pe­se re­gels voor ge­ge­vens­be­scher­ming na te le­ven. Het is ech­ter maar de vraag hoe lang Pri­va­cy Shield nog van kracht is, een re­den om lie­ver niet voor een Ame­ri­kaan­se hos­ter te kie­zen.

In­for­ma­tie-over­load

Web­si­te­be­heer­ders moe­ten vol­gens de AVG be­zoe­kers al­ler­lei in­for­ma­tie ver­schaf­fen en ze be­paal­de mo­ge­lijk­he­den bie­den met be­trek­king tot het ver­wer­ken van hun per­soons­ge­ge­vens. Er moet bij­voor­beeld een dui­de­lijk pri­va­cysta­te­ment be­schik­baar zijn dat con­su­men­ten in­for­meert over hun rech­ten (zie ver­der­op). Dat moet bo­ven­dien meer of an­de­re ge­ge­vens be­vat­ten dan voor­heen. Het pri­va­cysta­te­ment moet bij­voor­beeld de doel­ein­den van de ge­ge­vens­ver­wer­king ver­mel­den, maar ook wel­ke ge­ge­vens hoe lang be­waard wor­den en dat men­sen een klacht bij de AP kun­nen in­die­nen. Een vrij sum­mier voor­beeld is het pri­va­cysta­te­ment van de AP zelf voor haar cam­pag­ne­web­si­te Hulp­bij­p­ri­va­cy.nl. Ove­ri­gens moet je op die web­si­te voor de link naar het sta­te­ment wel erg ver naar be­ne­den scrol­len, maar hij staat in elk ge­val op de start­pa­gi­na. Daar­mee vol­doet hij toch aan de eis 'ge­mak­ke­lijk toe­gan­ke­lijk', zo­als in ar­ti­kel 12 van de AVG staat. On­li­ne zijn tal­lo­ze voor­beel­den van on­li­ne ge­ne­ra­tors voor een pri­va­cy sta­te­ment te vin­den (zie de link on­der­aan). Wil je op sa­fe spe­len, dan is het raad­zaam ju­ri­disch ad­vies in te win­nen.

De be­zoe­kers van je web­si­te moe­ten over al­le per­soons­ge­ge­vens die wor­den ver­za­meld ge­ïn­for­meerd wor­den. Dat geldt voor ip-adres­sen (die maxi­maal 14 da­gen be­waard mo­gen wor­den), maar ook voor logfi­les, ge­o­lo­ca­tie­ge­ge­vens, com­men­taar­func­ties, het ge­bruik van coo­kies en­zo­voort. Bij om­vang­rij­ke sta­te­ments is het ver­stan­dig om de­tails op apar­te pa­gi­na's te ver­mel­den en die via links aan te bie­den.

Vei­lig­heid voor­op

Als een web­si­te per­soons­ge­ge­vens ver­za­melt via for­mu­lie­ren (bij­voor­beeld de be­stel­for­mu­lie­ren bij een web­shop) moe­ten die so­wie­so ver­sleu­teld zijn. Con­form de AVG moe­ten ge­ge­vens wor­den ver­werkt 'op een ma­nier die een pas­sen­de be­vei­li­ging en ver­trou­we­lijk­heid van die ge­ge­vens waar­borgt, ook ter voor­ko­ming van on­ge­oor­loof­de toe­gang tot of het on­ge­oor­loof­de ge­bruik van per­soons­ge­ge­vens en de ap­pa­ra­tuur die voor de ver­wer­king wordt ge­bruikt'. Een hier­voor be­no­digd SSL-cer­ti­fi­caat is bij­voor­beeld via Let's En­crypt kos­te­loos te in­stal­le­ren (zie c't 3/2018, pa­gi­na 104).

Het is be­ter al­leen de ge­ge­vens te la­ten in­vul­len die daad­wer­ke­lijk no­dig zijn. Op­ti­o­ne­le ge­ge­vens moe­ten dui­de­lijk ge­mar­keerd wor­den. Ook bij het aan­mel­den voor nieuws­brie­ven moet dui­de­lijk wor­den ver­meld wel­ke ge­ge­vens voor wel­ke doel­ein­den ge­bruikt wor­den. Om­dat het vol­gens de AVG ook no­dig is al­les goed te do­cu­men­te­ren, is het ver­stan­dig een dub­be­le opt-in te ge­brui­ken. Vol­gens de AVG geldt so­wie­so het prin­ci­pe van 'pri­va­cy by de­fault': zorg voor ex­pli­cie­te toe­stem­ming en zorg dat al­le vin­kjes en der­ge­lij­ke die daar be­trek­king op heb­ben stan­daard 'uit' staan.

Het ge­bruik van so­ci­a­le-me­dia-plu­gins zou voor pro­ble­men kun­nen zor­gen. Die spe­len vaak ook zon­der te klik­ken op 'Vind ik leuk' of 'De­len' al in­for­ma­tie door aan de be­tref­fen­de aan­bie­der. Een op­los­sing zo­als Sha­riff is al be­ter (zie de link on­der­aan dit ar­ti­kel). Maar ook dan weet een ge­brui­ker niet wel­ke ge­ge­vens pre­cies ge­deeld wor­den en wat er­mee ge­beurt.

Wis­sen en te­rug­ge­ven

Als web­si­te­be­heer­der heb je mis­schien al eens te ma­ken ge­had met ver­zoe­ken van par­ti­cu­lie­ren om con­tent te ver­wij­de­ren. Nieuw daar­bij zijn aan­vul­len­de ei­sen in ar­ti­kel 17 van de AVG be­tref­fen­de dit 'recht op ver­ge­tel­heid'. Niet al­leen de ge­ge­vens op de ei­gen web­si­te moe­ten ver­wij­derd wor­den, maar je moet ook 're­de­lij­ke maat­re­ge­len' tref­fen om der­den de links en ko­pie­ën et ce­te­ra van ge­ge­vens te la­ten wis­sen. Bij het te­rug­zet­ten van een back-up zal daar ook op een of an­de­re ma­nier re­ke­ning mee ge­hou­den moe­ten wor­den.

He­le­maal nieuw is ver­der het recht op over­draag­baar­heid van ge­ge­vens. Dat moet er­voor zor­gen dat ge­brui­kers hun per­soons­ge­ge­vens in een 'ge­struc­tu­reer­de, gang­ba­re en ma­chi­ne­lees­ba­re vorm' kun­nen op­vra­gen, zo­dat ze er­mee kun­nen over­stap­pen naar een an­de­re aan­bie­der. Het gaat daar­bij om per­soons­ge­ge­vens, ge­brui­kers mo­gen niet ver­wach­ten dat ze bij­voor­beeld hun com­ple­te e-mai­lar­chief van een pro­vi­der krij­gen. De prak­ti­sche in­vul­ling daar­van moet nog blij­ken.

Voor be­drij­ven

Klant­ge­ge­vens zijn voor be­drij­ven een mid­del om de be­drijfs­re­sul­ta­ten te ver­be­te­ren. De AVG stelt daar ech­ter stren­ge­re ei­sen aan. Vol­gens EU-com­mis­sa­ris Věra Jour­o­vá hoe­ven be­drij­ven met min­der dan 250 werk­ne­mers zich niet zo'n zor­gen te ma­ken. Zo zou­den zij vol­gens ar­ti­kel 30 niet ge­hou­den zijn aan de be­wijs­plicht: het ver­plicht re­gi­stre­ren van el­ke ac­ti­vi­teit waar­bij per­soons­ge­ge­vens in­ge­voerd, ver­werkt of op­ge­sla­gen wor­den.

Maar die uit­zon­de­ring voor be­drij­ven met min­der dan 250 werk­ne­mers geldt al­leen als de ge­ge­vens­ver­wer­king 'geen ri­si­co in­houdt voor de rech­ten en vrij­he­den van de be­trok­ke­nen', de­ze 'in­ci­den­teel is' en 'geen bij­zon­de­re ca­te­go­rie­ën ge­ge­vens be­vat' zo­als ge­ge­vens over ziek­te. Dat ge­ge­vens slechts in­ci­den­teel ver­werkt wor­den en het ver­wer­ken geen en­kel ri­si­co op­le­vert, komt in de prak­tijk na­tuur­lijk nau­we­lijks voor – ook niet bij klei­ne be­drij­ven.

Da­ta­be­wa­ker

Ook het aan­stel­len van een 'func­ti­o­na­ris voor ge­ge­vens­be­scher­ming' (ar­ti­kel 38 van de AVG) kan nood­za­ke­lijk zijn. Be­hal­ve voor over­he­den en pu­blie­ke or­ga­ni­sa­ties is het aan­stel­len van zo'n func­ti­o­na­ris (FG) in

be­paal­de ge­val­len ook voor be­drij­ven ver­plicht. Dat geldt bij­voor­beeld als ze van­uit hun 'kern­ac­ti­vi­tei­ten' op gro­te schaal in­di­vi­du­en vol­gen. Denk aan een ver­ze­ke­rings­maat­schap­pij, kre­diet­be­oor­de­laar of een be­drijf dat zich richt op on­li­ne ad­ver­te­ren. Het aan­tal in­di­vi­du­en, de hoe­veel­heid ge­ge­vens en hoe lang men­sen ge­volgd wor­den telt daar­bij mee. De groot­te van het be­drijf is geen fac­tor.

Als het gaat om het op gro­te schaal ver­wer­ken van bij­zon­de­re per­soons­ge­ge­vens, zo­als ie­mands ge­zond­heid of straf­rech­te­lijk ver­le­den, is een FG so­wie­so ver­plicht. Een Ne­der­land­se huis­art­sen­prak­tijk zal daar qua schaal niet on­der val­len, maar een zie­ken­huis wel. Of bij­voor­beeld een gro­te ver­e­ni­ging daar­on­der valt, moet in de prak­tijk nog blij­ken. Het aan­stel­len van een ex­ter­ne FG is een op­tie. De Eu­ro­pe­se pri­va­cy­toe­zicht­hou­ders heb­ben richt­lij­nen voor de FG ge­pu­bli­ceerd (zie de link on­der­aan).

IT-be­vei­li­ging

De IT-be­vei­li­ging wordt bij de AVG meer een on­der­deel van de ge­ge­vens­be­scher­ming. Vol­gens ar­ti­kel 5 moe­ten per­soons­ge­ge­vens 'op een dus­da­ni­ge ma­nier wor­den ver­werkt dat een pas­sen­de be­vei­li­ging er­van ge­waar­borgd is.' Meer de­tails daar­over staan in ar­ti­kel 32 'Be­vei­li­ging van de ver­wer­king'. Het komt er­op neer dat be­drij­ven voor­al re­ke­ning moe­ten hou­den met de be­lan­gen van me­de­wer­kers en klan­ten en niet hun ei­gen be­lang, en dat ze ge­pas­te maat­re­ge­len moe­ten ne­men vol­gens de stand van de tech­niek. On­der die 'stand van de tech­niek' val­len in elk ge­val re­cen­te hard­wa­re en soft­wa­re die be­trouw­baar zijn ge­ble­ken.

In de AVG wor­den spe­ci­fie­ke tech­ni­sche en or­ga­ni­sa­to­ri­sche maat­re­ge­len ge­noemd om ri­si­co's te be­per­ken. Daar­on­der val­len het pseu­do­ni­mi­se­ren en ver­sleu­te­len van ge­ge­vens en goe­de back-up­fa­ci­li­tei­ten. Voor een 'pas­sen­de' be­vei­li­ging zal bo­ven­dien een re­gel­ma­ti­ge ana­ly­se, eva­lu­a­tie en in­dien no­dig up­da­te van de sys­te­men no­dig zijn. Al­les moet bo­ven­dien ge­do­cu­men­teerd wor­den. Ap­pli­ca­ties en ge­ge­vens­sys­te­men die door ge­brui­kers zelf ge­maakt zijn (scha­duw-IT), zijn daar­bij na­tuur­lijk uit den bo­ze.

Als uit een ri­si­co­ana­ly­se blijkt dat er een ver­hoogd ri­si­co is bij de da­ta­ver­wer­king (bij­voor­beeld om­dat het om groot­scha­li­ge me­di­sche ge­ge­vens gaat of er nieu­we tech­no­lo­gie wordt in­ge­zet), moet een 'ge­ge­vens­be­scher­mings­ef­fect­be­oor­de­ling' con­form ar­ti­kel 35 wor­den ge­start. Als daar­uit volgt dat het ri­si­co voor de be­trof­fen per­so­nen groot is, moet zelfs vóór het ver­wer­ken eerst de lan­de­lij­ke toe­zicht­hou­den­de au­to­ri­teit wor­den ge­raad­pleegd (ar­ti­kel 36). Die komt bin­nen acht we­ken met aan­be­ve­lin­gen. In de prak­tijk zou dat be­drijfs­pro­ces­sen (zo­als een 'agi­le' soft­wa­re­ont­wik­ke­ling) be­hoor­lijk kun­nen ver­tra­gen.

Meer plich­ten

Voor al­le be­drij­ven gel­den ver­der ook de eer­der ge­noem­de pun­ten (zie 'Voor web­mas­ters'), of ze nu wel of niet een web­si­te

heb­ben. Voor het ver­wer­ken van ge­ge­vens door ex­ter­ne par­tij­en is bij­voor­beeld een nieu­we ver­wer­kers­over­een­komst no­dig en de be­trok­ken per­so­nen moe­ten de mo­ge­lijk­heid heb­ben hun per­soons­ge­ge­vens te la­ten ver­wij­de­ren of op te vra­gen. Voor be­drij­ven van bui­ten de EU be­te­kent de AVG dat ze zich aan de nieu­we re­gels moe­ten hou­den als ze per­soons­ge­ge­vens van EU-bur­gers ver­wer­ken. Dat geldt dus voor cloud­dien­sten net zo goed als voor Fa­ce­book, Ama­zon, Goog­le en Ap­ple.

Voor bur­gers

Bur­gers krij­gen met de AVG meer rech­ten als het gaat om hun per­soons­ge­ge­vens. Die wor­den in de he­le EU ge­lijk. Een daar­van is dat ze in kla­re taal ge­ïn­for­meerd moe­ten wor­den over wat er met hun ge­ge­vens ge­beurt. Niet dat de AVG zelf een toon­beeld is van 'kla­re taal'. Er ko­men zin­nen in voor van meer dan 500 te­kens (punt 4, ar­ti­kel 6) of zelfs het dub­be­le als je de bij­be­ho­ren­de op­som­ming mee­telt. Ook de 173 over­we­gin­gen of 'gron­den', die als toe­lich­ting die­nen, zijn niet echt luch­ti­ge lec­tuur. Het is ook maar de vraag of ge­brui­kers echt iets heb­ben aan een in kla­re taal op­ge­steld pri­va­cysta­te­ment van tig pa­gi­na's lang.

Bur­gers heb­ben daar­naast meer recht op in­for­ma­tie over wel­ke per­soons­ge­ge­vens be­drij­ven van ze ver­wer­ken, waar­om en hoe lang. Ook moe­ten be­drij­ven uit­leg­gen wat voor pro­fi­le­ring ze ge­brui­ken en wat het ge­volg kan zijn. Pro­fi­le­ring is vol­gens grond­slag 71 el­ke 'ge­au­to­ma­ti­seer­de ver­wer­king van per­soons­ge­ge­vens ter be­oor­de­ling van per­soon­lij­ke as­pec­ten' van ie­mand 'wan­neer daar­aan voor hem rechts­ge­vol­gen zijn ver­bon­den of dat hem op ver­ge­lijk­ba­re wij­ze aan­mer­ke­lijk treft'. Als je bank wei­gert je een le­ning te ver­strek­ken, zou je in the­o­rie kun­nen vra­gen op grond waar­van dat be­sluit ge­no­men is. In de prak­tijk kun­nen be­drij­ven zich al­tijd nog be­roe­pen op hun be­drijfs­ge­heim om niet al te veel de­tails prijs te ge­ven.

Bij de­ze en bij an­de­re rech­ten is het nog de vraag hoe (en of) ze in de prak­tijk ge­re­a­li­seerd zul­len wor­den. Wil je dat een be­drijf per­soons­ge­ge­vens van jou cor­ri­geert of die ge­ge­vens in­zien, dan zou je bij­voor­beeld ge­bruik kun­nen ma­ken van de voor­beeld­brie­ven die de AP daar­voor biedt (zie de link on­der­aan). Het 'recht op ver­ge­tel­heid' (ar­ti­kel 17) is al het ge­volg van een prak­tijk­ge­val, na­me­lijk een uit­spraak uit 2014 van het EU-hof. In re­ac­tie daar­op heeft Goog­le (het be­drijf dat werd aan­ge­klaagd) een for­mu­lier on­li­ne ge­zet (zie de link) om je­zelf uit de zoek­re­sul­ta­ten te la­ten ver­wij­de­ren. Maar dat ver­zoek hoeft Goog­le al­leen in te wil­li­gen als die re­sul­ta­ten 'on­toe­rei­kend, ir­re­le­vant of bui­ten­spo­rig zijn'.

De vol­gen­de hor­de

Be­hal­ve de AVG voor per­soons­ge­ge­vens staat er nog een groot­scha­lig Eu­ro­pees pro­ject in de start­blok­ken: de ePri­va­cy Ver­or­de­ning. Die volgt de ePri­va­cy-richt­lijn op, die in 2009 voor het laatst aan­ge­past is. De ePri­va­cy Ver­or­de­ning had ei­gen­lijk te­ge­lijk met de AVG in wer­king moe­ten tre­den, want hij moet richt­lij­nen uit de AVG con­cre­ti­se­ren, bij­voor­beeld met be­trek­king tot coo­kies, e-mail en te­le­mar­ke­ting.

Het oor­spron­ke­lij­ke con­cept was ech­ter te am­bi­ti­eus en on­der­vond veel te­gen­wind. Eind 2017 is een nieuw ont­werp in­ge­diend, dat zal waar­schijn­lijk niet voor 2019 in wer­king tre­den. Goed nieuws in ie­der ge­val voor ju­ris­ten, ad­vies­bu­reaus en an­de­re in­stan­ties die zich be­zig­hou­den met ge­ge­vens­be­scher­ming: voor­lo­pig zul­len ze geen te­kort aan klan­ten heb­ben.

(mdt)

In de Pri­va­cy-Shield-da­ta­ba­se kun je con­tro­le­ren wel­ke Ame­ri­kaan­se be­drij­ven zich hou­den aan de EU-nor­men voor da­ta­be­scher­ming.

Jan Phi­lipp Al­brecht, EU-par­le­ments­lid, en Vi­vi­a­ne Re­ding, vi­ce­voor­zit­ter van de EU-com­mis­sie, werk­ten aan de AVG.

Chro­me laat in­di­rec­te coo­kies met de stan­daard­in­stel­lin­gen toe, wat niet echt lijkt te stro­ken met de AVG en 'pri­va­cy by de­sign'.

De Au­to­ri­teit Per­soons­ge­ge­vens deelt niet al­leen boe­tes uit, maar biedt ook hulp en voor­beeld­do­cu­men­ten in het ka­der van de AVG.

Bij Goog­le Ta­ke­out kun je je per­soon­lij­ke ge­ge­vens down­lo­a­den. Maar het over­zet­ten naar een an­de­re aan­bie­der moet je zelf re­ge­len.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.