Overzicht Actueel

Europese Privacywet treedt nu in werking

Op 24 mei 2016 treedt de Algemene Verordening Gegevensbescherming in werking. Vanaf deze datum hebben bedrijven en overheden nog precies twee jaar de tijd om hun bedrijfsvoering aan te passen aan het nieuwe privacy regime. Het duurt namelijk nog twee jaar voordat de verordening daadwerkelijk van toepassing is in de lidstaten.

Het is al vaker gezegd, maar de verordening is rechtstreeks van toepassing. Dit houdt in dat onze huidige Wet bescherming persoonsgegevens – in de volksmond ook wel privacywet – één op één plaats moet maken voor deze Europese regels. Een voordeel hiervan is dat dezelfde privacyregels zullen gelden in elke Europese lidstaat.

Zwaardere documentatieplicht

De nieuwe Verordening regelt tot in detail hoe je met data moet omgaan. Goed om te weten is dat dat de ideologie niet is gewijzigd: de basisprincipes zijn hetzelfde. Uitgangspunt van onze huidige privacywet is transparantie en keuze, dat is in de Verordening niet anders. Wat met de komst van de Verordening wel verandert, is de zwaardere documentatieplicht. Organisaties moeten kunnen aantonen dat zij compliant gegevens verwerken.

Toepassingsgebied

Het toepassingsgebied van Europese privacywetgeving is bovendien uitgebreid, zowel materieel als geografisch. Dit houdt kort gezegd in dat bedrijven eerder te maken hebben met de privacyregels door een bredere definitie van persoonsgegevens en dat dit ook geldt voor bedrijven gevestigd buiten de EU, als zij persoonsgegevens van Europese burgers verwerken.

Ruimer begrip van persoonsgegevens

De definitie van persoonsgegevens wordt iets opgerekt:

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.”

Bepaalde online data worden hiermee als persoonsgegevens aangemerkt, zoals unieke identifiers, locatie data, cookie ID’s en IP-adressen. Het blijft echter wel de vraag in hoeverre identifiers die gebruikt worden om louter interessegroepen te onderscheiden, onder de definitie van persoonsgegevens vallen.

Toestemming: vrij, specifiek, op informatie berustend en ondubbelzinnig

Toestemming dient gegeven te worden door middel van een duidelijke actieve handeling. Dit kan schriftelijk of elektronisch gebeuren, maar ook mondeling. Zolang er maar geen twijfel bestaat over de vraag of en waarvoor toestemming is gegeven. De verordening noemt als voorbeeld het aanvinken van een vakje, maar ook uit andere handelingen kan toestemming worden afgeleid. Denk aan het doorsurfen nadat een bezoeker geïnformeerd is over cookies. Waar het om gaat is dat een bezoeker begrijpt dat met die handeling (het doorsurfen) wordt ingestemd met cookies. Een niet-actieve handeling, zoals het gebruik van vooraangevinkte vakjes, levert geen ‘rechtsgeldige’ toestemming op.

Profileren 

Profileren is nog steeds mogelijk onder de nieuwe wetgeving. In sommige gevallen zal daar toestemming voor nodig zijn, en in andere niet. Waar de grens ligt hangt af van de specifieke omstandigheden en zal ook nog meer duidelijk worden in de aanloop naar de implementatie van de nieuwe wetgeving. Hoe groter de impact op de privacy van de betrokkenen en hoe groter de gevolgen van de profilering, hoe eerder toestemming zal moeten worden gevraagd.

De verordening definieert profileren als: “de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen.”

Consumenten hebben altijd het recht om zich af te melden en/of uit te schrijven van direct marketing communicatie. Consumenten kunnen ook bezwaar maken tegen profilering voor direct marketing doeleinden. Indien een consument bezwaar maakt tegen profilering dan mogen zijn of haar gegevens niet meer worden gebruikt.

Deadline: 25 mei 2018

Op 4 mei j.l. is de definitieve tekst van de verordening in alle officiële talen gepubliceerd in het EU‑Publicatieblad. Ondanks dat de Verordening op 24 mei – 20 dagen na deze publicatie – officieel in werking treedt, is de verordening vanaf 25 mei 2018 pas echt een feit.

DDMA zal in de komende twee jaar haar leden helpen zich voor te bereiden op deze nieuwe Privacywet door middel van kennisdeling, advies en voorlichting. Houd de website in de gaten voor meer informatie.