De nieuwe privacywetgeving in 5 vragen: wat verandert er voor u?

De Europese privacywetgeving, de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) regelt hoe er moet worden omgegaan met persoonsgegevens. De wetgeving is eigenlijk niet helemaal nieuw. In België bestaat er sinds 1992 al een strenge privacywet die u heel veel rechten geeft, iets wat veel bedrijven en consumenten tot voor kort amper wisten.

De regels van 25 jaar geleden waren op bepaalde vlakken nogal vaag en vooral: er waren geen duidelijke sancties voor wie de regels niet naleefde. De nieuwe privacywetgeving, die van toepassing zal zijn in gans Europa,  brengt daar nu verandering in: iedereen die gegevens van anderen verwerkt moet de regels volgen en wie dat niet doet riskeert boetes. Maar wat zijn die oude en nieuwe regels nu?

De nieuwe wet beschermt alle gegevens die iets over u als persoon zeggen. Dat gaat van uw naam, telefoonnummer, adres en woonplaats tot uw IP-adres, uw surfgeschiedenis, uw online winkelkarretje en wat u liket en sharet op social media. Er bestaat ook zoiets als “bijzondere persoonsgegevens”. Dit zijn gevoelige gegevens die extra beschermd moeten worden, zoals uw godsdienst of gezondheid.

Zodra u al die gegevens deelt met anderen, moeten er speciale regels gerespecteerd worden. Gegevens delen met anderen kan u natuurlijk op verschillende manieren doen. Dat gaat van het invullen van een inschrijvingsformulier van de sportclub, tot het posten van een foto op Facebook of het bestellen van een boek op bol.com.

De belangrijkste regel is dat bedrijven uw gegevens niet zomaar mogen verzamelen en gebruiken. Dat kan enkel voor specifieke, in de wet vastgelegde doelen. Ze mogen enkel gegevens verzamelen als dat effectief nodig is voor een goede dienstverlening en moeten duidelijk aangeven waarom ze uw gegevens verzamelen. De NMBS-app mag bijvoorbeeld niet zo maar vragen naar uw geboortedatum als ze niet kunnen aangeven wat ze met die informatie zullen doen om u een betere dienstverlening aan te bieden.

Wie gegevens van anderen gebruikt en verzamelt, moet ook altijd kunnen aantonen dat dat zorgvuldig, veilig en verantwoordelijk gebeurt. De GDPR gaat hier vrij ver in en legt heel wat verplichtingen op om een "zorgvuldige en veilige gegevensverwerking" te garanderen. Zo moet er altijd een dataregister worden opgesteld: een duidelijk document waarin staat welke gegevens worden bijgehouden, waar deze vandaan komen en met wie ze worden gedeeld. 

Bedrijven mogen niet zomaar eender wat bewaren en verwerken, laat staan doorspelen aan partners. Ze moeten ook een duidelijke privacyverklaring opstellen, waar u kan lezen wat ze verzamelen, waarvoor ze dat doen, of ze uw gegevens doorgeven aan anderen en  hoe lang ze die gegevens bijhouden. Die privacyverklaring moet in een heldere, eenvoudige taal worden opgesteld.

Sommige organisaties, zoals overheidsbedrijven en bedrijven die op grote schaal gegevens verwerken en die data regelmatig gebruiken, moeten ook een data protection officer (DPO) aanstellen. Dat is een duidelijk aanspreekpunt voor alle kwesties rond databescherming.

De GDPR introduceert ook "privacy by design & by default". Dat wil zeggen dat wanneer een product of dienst wordt bedacht, privacy van in het begin in rekening moet worden genomen. Vandaag gebeurt dat vaak op het einde, wanneer alle andere processen al in rekening genomen zijn. 

Overheden en bedrijven, maar ook kleinere organisaties en verenigingen. Kortom, iedereen die informatie van anderen bijhoudt. Dat gaat van ziekenfondsen en verzekeringen, tot grote bedrijven zoals Facebook, Zalando en Youtube.

Maar ook jeugdbewegingen, sportclubs en kleine vzw’s vallen onder de GDPR: ze zijn verantwoordelijk voor de gegevens die ze verwerken en moeten dus altijd kunnen zeggen hoe en waarom ze dat doen.

Iedereen die gegevens van zichzelf prijsgeeft, krijgt door de GDPR belangrijke rechten. Zo hebt u altijd het recht om op te vragen welke gegevens er worden bewaard, hoe die werden verzameld, wat er mee gebeurt, waarom ze worden gebruikt en hoe lang ze worden bewaard. U kan ook altijd vragen om die gegevens te verbeteren of om ze te laten wissen. U kan dus bijvoorbeeld altijd vragen dat een website uw foto offline haalt. 

In bepaalde gevallen zullen bedrijven en verenigingen enkel uw gegevens mogen verzamelen als u daar uitdrukkelijk toestemming voor hebt gegeven. En dat wordt door de GDPR moeilijker. Het op voorhand aangeduide vinkje bij ‘ik ga akkoord met uw privacybeleid’ volstaat niet. De toestemming moet specifiek, geïnformeerd en ondubbelzinnig zijn. Bovendien moet een toestemming intrekken even gemakkelijk zijn als een toestemming geven.

U moet ook altijd geïnformeerd worden als uw gegevens door een datalek vrijkomen en u kan bedrijven ook altijd vragen om uw gegevens te krijgen in een bruikbaar elektronisch formaat, om ze elders te kunnen gebruiken. Dat kan handig zijn als u uw mails wil overzetten van bijvoorbeeld Gmail naar Outlook.

Wanneer u vermoedt dat uw gegevens worden misbruikt of bedrijven geen antwoord geven op uw vragen, kan u contact opnemen met de Gegevensbeschermingsautoriteit – de vroegere Privacycommissie. Die zal vanaf 25 mei controleren of iedereen de nieuwe privacywetgeving respecteert. Bedrijven en organisaties die dat niet doen, riskeren boetes tot twintig miljoen euro of tot vier procent van de globale jaaromzet, afhankelijk van welk bedrag het hoogste is. 

Wie vragen heeft over de nieuwe wetgeving kan ook aankloppen bij de Gegevensbeschermingsautoriteit. Er is ook een speciale website voor jongeren: ikbeslis.be.

Wat moeten kleine verenigingen doen om privacyproof te zijn? Hoe zit het met klantenkaarten? Hoe moeten grote bedrijven omgaan met uw data? En waar kunt u terecht met klachten? VRT NWS gaat een week lang op zoek naar antwoorden.  We trekken naar de scouts in Antwerpen, een lagere school in Vlamertinge, de hoofdzetel van Colruyt én de redactie van Radio 1.