De Algemene verordening gegevensbescherming (AVG) is een nieuwe wet van de Europese Unie die vandaag van kracht wordt, en dat is de reden waarom u non-stop e-mails en berichten over updates van het privacybeleid ontvangt. Dus wat voor invloed heeft dit op jou? Dit is wat u moet weten.
De nieuwe AVG-wet treedt vandaag, 25 mei 2018, in werking en heeft betrekking op gegevensbescherming en privacy voor EU-burgers, maar is ook op verschillende manieren van toepassing op veel andere landen, en aangezien alle technische giganten enorme multinationale ondernemingen zijn , het heeft invloed op veel van de dingen die u dagelijks gebruikt.
Het probleem dat de AVG probeert op te lossen: bedrijven verzamelen en misbruiken uw persoonlijke gegevens
Sinds het begin van internet hebben bedrijven zoveel mogelijk gegevens verzameld over iedereen die ze kunnen. Het is eenvoudig om die informatie te verzamelen, dus er is geen reden om deze niet te hamsteren.
Het probleem is dat de afgelopen jaren veel bedrijven zijn betrapt op het niet beschermen - of ronduit misbruiken - van uw persoonlijke gegevens. Het Cambridge Analytica-schandaal , waar een onderzoeker een Facebook-quiz gebruikte om enorme hoeveelheden gegevens over miljoenen Facebook-gebruikers te verzamelen en deze vervolgens aan een adviesbureau verkocht, is slechts het meest recente voorbeeld. De Equifax-hack van vorig jaar was bijzonder slecht omdat de gelekte informatie kan worden gebruikt om creditcards te openen . En dat zijn slechts de grote schandalen. Veel bedrijven hebben uw gegevens op kleinere manieren misbruikt, bijvoorbeeld door deze door te verkopen aan externe advertentiebedrijven.
De EU heeft een vage kijk op de situatie en gebruikt de AVG om deze te corrigeren. Onder de nieuwe wetten worden bedrijven die de consumentengegevens niet voldoende beschermen of op enigerlei wijze misbruiken, geconfronteerd met hoge boetes.
Wat worden als persoonlijke gegevens beschouwd?
De AVG beschermt 'persoonlijke gegevens', wat hier betekent 'alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon' - en dat is een vrij brede definitie. In werkelijkheid omvatten persoonsgegevens over het algemeen zaken als:
- Biografische gegevens zoals uw naam, adres, telefoonnummer, burgerservicenummer, enzovoort.
- Gegevens met betrekking tot uw fysieke verschijning en gedrag, zoals haarkleur, ras en lengte.
- Informatie over uw opleiding en werkgeschiedenis, zoals uw salaris, hbo-opleiding, GPA, belastingnummer, enzovoort.
- Alle medische of genetische gegevens.
- Zaken als uw belgeschiedenis, privéberichten of geolocatiegegevens.
Dit is verre van een volledige lijst. De sleutel is dat alle gegevens die u identificeerbaar maken, tellen. In bepaalde omstandigheden kan uw haarkleur voldoende zijn. In andere gevallen kan zelfs uw volledige naam - als het iets gewoons is zoals Robert Smith - u niet identificeerbaar maken.
Wat doet de AVG?
De AVG geeft EU-ingezetenen van wie hun persoonlijke gegevens worden verzameld - in de wet "betrokkenen" genoemd - acht rechten. Zij zijn:
- Het recht om geïnformeerd te worden: Als een bedrijf gegevens verzamelt, moeten ze betrokkenen vertellen wat er wordt verzameld, waarom ze worden verzameld, waarvoor ze worden gebruikt, hoelang ze worden bewaard en of ze worden gedeeld met derden. Deze informatie kan niet diep worden begraven in servicevoorwaarden die niemand leest; het moet beknopt en in duidelijke taal zijn.
- Het recht op toegang: Elke organisatie die persoonsgegevens over een betrokkene heeft, moet deze op verzoek binnen een maand aan hen verstrekken.
- Het recht op rectificatie: Als een betrokkene erachter komt dat een bedrijf gegevens over hem heeft die niet kloppen, kan hij vragen om deze bij te werken. Bedrijven hebben een maand de tijd om hieraan te voldoen.
- Het recht om te wissen: Een betrokkene kan een bedrijf verzoeken om alle gegevens die over hem worden bewaard in bepaalde omstandigheden te verwijderen. Bijvoorbeeld als de gegevens niet langer nodig zijn of als ze hun toestemming voor het gebruik ervan intrekken.
- Het recht om de verwerking te beperken: Als een organisatie de gegevens van een betrokkene niet kan verwijderen, bijvoorbeeld omdat ze deze nodig hebben voor een rechtszaak, dan kunnen ze het bedrijf verzoeken om het gebruik ervan te beperken.
- Het recht op dataportabiliteit: Betrokkenen hebben het recht om hun persoonsgegevens van de ene dienst af te halen en te gebruiken met een andere.
- Het recht om bezwaar te maken: Als gegevens zonder toestemming worden verzameld, maar voor legitieme zakelijke belangen, voor het algemeen belang of door een officiële autoriteit, kan de betrokkene bezwaar maken. De organisatie moet dan stoppen met het verwerken van de gegevens totdat ze kan aantonen dat ze daar legitieme redenen voor hebben.
- Rechten met betrekking tot geautomatiseerde besluitvorming, inclusief profilering: De AVG voorziet in waarborgen zodat individuen bezwaar kunnen maken tegen of uitleg kunnen krijgen over geautomatiseerde beslissingen die op hen en hun gegevens van invloed zijn.
Een ander groot onderdeel van de regelgeving is dat bedrijven een wettige reden moeten hebben voor het verzamelen of verwerken van gegevens. Een van de wettige redenen is dat ze toestemming hebben gekregen om het voor een specifiek doel te gebruiken, maar er zijn anderen die het nodig hebben om te voldoen aan wettelijke verplichtingen of dat het verzamelen ervan in het algemeen belang is.
Zoals u kunt zien, zijn de rechten die volgens de wet aan EU-ingezetenen worden verleend vrij breed en dwingen bedrijven die gegevens van hen verzamelen, echt na te denken over wat ze verzamelen en waarom. De oude dagen van het verzamelen van alles wat ze kunnen en hopen dat ze er later een gebruik voor zullen vinden, zijn voorbij - tenminste in Europa. Dit is de reden waarom vrijwel elke service waaraan u ooit uw e-mailadres heeft gegeven, contact met u opneemt.
Wat veel bedrijven in de war brengt, is dat de sancties voor het niet naleven van de AVG behoorlijk streng zijn. Een organisatie kan volgens de wet een boete krijgen van maximaal € 20 miljoen of 4% van hun wereldwijde jaaromzet (welke van de twee het grootst is). Voor bedrijven als Amazon of Google komt dit neer op miljarden dollars aan mogelijke boetes als ze verkeerd omgaan met de gegevens van EU-inwoners.
Wat betekent de AVG voor Amerikanen?
In dit artikel hebben we ons geconcentreerd op de rechten die GDPR geeft aan EU-ingezetenen, om de simpele reden dat het een EU-wet is. Het is eigenlijk niet van toepassing op Amerikaanse burgers, tenzij ze ook in de EU wonen. De reden dat u alle e-mails ontvangt, is dat de meeste bedrijven niet kunnen zeggen wie een EU-ingezetene is en wie niet.
Dit betekent echter niet dat de AVG geen gevolgen voor u heeft. Het heeft ertoe geleid dat veel bedrijven opnieuw hebben geëvalueerd hoe ze omgaan met consumentengegevens en sommigen van hen zijn begonnen te praten over het uitrollen van de AVG-rechten naar niet-EU-inwoners. En het is in veel gevallen ook eenvoudiger voor bedrijven om één set regels af te dwingen voor alle klanten.
Bijvoorbeeld Apple heeft een nieuw privacyportaal gelanceerd waar mensen al hun persoonlijke gegevens kunnen downloaden of hun account kunnen verwijderen, met andere woorden mensen het recht op toegang en verwijdering geven. Voorlopig kunnen alleen in de EU gevestigde accounts het gebruiken, maar Apple is van plan het de komende maanden wereldwijd uit te rollen . Similarly, Facebook is mompelen over het geven van dezelfde AVG-bescherming aan sommige gebruikers buiten de EU .
