Europese Privacy
wetgeving

Even bijpraten - november 2017

Slordig omgaan met data kost straks miljoenen!

Op 25 Mei 2018 wordt een nieuwe en verregaande Europese Privacy wetgeving van kracht

Iedereen heeft wel een geheimpje voor een ander. Een buur hoeft niet te weten hoeveel belasting Huize Zoveel jaarlijks betaalt, of de bewoner/bewoonster daarvan een ernstige ziekte heeft of hoe hoog de hypotheek- dan wel creditcard-schuld van dat stel is. Toch zijn dat soort gegevens opgeslagen in enorme databestanden van de overheid (Basisregistratie Personen, BRP), Zorgverzekeraars en Bureau Krediet Registratie (BKR). Maar er ligt nog veel meer informatie van iedereen ergens opgeslagen. Wie bijvoorbeeld bij Wehkamp koopt, in wat voor auto iemand rijdt, wat voor boodschappen bij de Albert Heijn of Jumbo worden gekocht en zelfs welke websites worden bezocht, hoe lang en in welke frequentie.
Met name dat soort informatie (zoals IP- en MAC-adressen) wordt op dit moment anoniem op grote schaal vergaard en verhandeld. Met nieuwe Europese wetgeving wordt dat vanaf die 25ste Mei echter heel wat lastiger, want zelfs als niet wordt opgeslagen welke naam achter bepaalde info schuilgaat, en daar kwamen heel veel ‘vergaarders’ tot nu toe probleemloos mee weg, dan kan dat volgens die nieuwe wetgeving straks wel degelijk privacygevoelige informatie zijn en dus gelden dan die nieuwe en stringentere eisen. 

Ook anonieme gegevens zijn ineens privacygevoelig!

Die nieuwe Europese wet heet officieel General Data Protection Regulation (GDPR 2016/679). In het Nederlands Algemene Verordening Gegevensbescherming (AVG). Wie vanaf 25 mei 2018 privacygevoelige data verzamelt, en dat doet iemand in het kader van die nieuwe wetgeving al heel snel, moet in begrijpelijke taal kunnen aantonen wat er precies met die data gebeurt, waarom die nodig is, wie er allemaal bij die data kunnen en of die data gemakkelijk kan worden verwijderd. Als de gegevens herleidbaar zijn tot een bepaalde persoon, moet die daarvoor ook nog eens schriftelijk toestemming hebben gegeven, die gegevens altijd kunnen inzien en op verzoek ook direct weer kunnen laten verwijderen. Ook moet je als ‘vergaarder’ hem of haar wijzen op de mogelijkheid om een klacht in te dienen bij de Nederlandsae toezichthouder, de Autoriteit Persoonsgegevens, als je die gegevens anders gebruikt dan waarvoor oorspronkelijk toestemming is gegeven. Als iemand akkoord gaat met het gebruik van zijn of haar e-mailadres om een nieuwsbrief te versturen, wil dat nog niet zeggen dat die iemand dan ook grootgrutter aanbiedingen wil ontvangen, ook al is de afzender gelijk. Zelfs als een bedrijf die privacy gegevens niet voor zichzelf vergaart, maar alleen maar opslaat voor een ander bedrijf, moet rekening worden gehouden met strengere eisen dan tot nu toe, want anoniem is in de ogen van Europa lang niet altijd anoniem.

Wie de nieuwe wet overtreedt, krijgt straks weliswaar eerst een waarschuwing of een reprimande, maar uiteindelijk kan de uiteindelijke boete oplopen tot vier procent van de jaaromzet of maximaal 20 miljoen euro. Uiteraard naast de mogelijke reputatieschade door alle negatieve publiciteit.

Denk niet dat het in de praktijk allemaal wel zal meevallen, want in een land waarin een kind van twee al ‘wildplassend’ aan de hand van opa een boete krijgt, valt helaas niets mee. Dus: breng alles serieus in kaart, documenteer alles goed, sluit - indien van toepassing - waterdichte contracten af met degenen waarvoor privacygevoelige data wordt opgeslagen en wees altijd voorbereid op een onverwachte controle.

Terug naar Nieuwsbrief

Neem een kijkje in
de wondere wereld van
Big Jep