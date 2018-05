Regio dinsdag, 8 mei 2018

Goede privacyregels, maar ze moeten wel worden gehandhaafd

De nieuwe verordening voor de bescherming van de privacy van Europese burgers wordt op 25 mei van kracht. Het zijn goede regels, zegt privacyorganisatie Bits of Freedom. Maar het is de vraag of ze kunnen worden gehandhaafd.

Leeuwarden | Een meerderheid (70 procent) van de mkb-bedrijven heeft zich nog niet goed genoeg voorbereid op de Algemene verordening gegevensbescherming (AVG), de nieuwe Europese privacywetgeving, zo bleek vorige week uit een peiling onder 2.800 ondernemingen. Eind deze maand moeten bedrijven voldoen aan de nieuwe regels.

Op 25 mei treedt de nieuwe Europese privacywet in werking. Vanaf dat moment zullen de nieuwe regels, die al in 2016 in Brussel zijn aangenomen, ook daadwerkelijk worden gehandhaafd. Aan de boetes zal het niet liggen. Ze kunnen tot in de miljoenen euro’s lopen als bedrijven, instellingen of organisaties zich niet aan de nieuwe regels houden. De straffen kunnen oplopen tot twintig miljoen euro (of 4 procent van de omzet van het bedrijf).

Veel organisaties zoals scholen, zorginstellingen, gemeenten hebben koortsachtig gezocht of zijn nog bezig aanpassingen te maken in hun manier van werken waar het de privacy van burgers betreft.

De verordening is bedoeld om het beleid over de persoonlijke gegevens van burgers in alle lidstaten in overeenstemming met elkaar te brengen. In de AVG is onder meer bepaald dat organisaties alleen bij expliciete toestemming persoonsgegevens mogen verwerken. Ook moeten zij kunnen bewijzen dat zij die toestemming hebben gekregen. Dat vergt nogal wat administratie waarbij in sommige gevallen een speciale medewerker moet worden aangesteld.

Gegevens opvragen

Daarnaast wordt het makkelijker gemaakt voor burgers om de toestemming voor het gebruik van hun gegevens weer in te trekken of te eisen dat gegevens moeten worden gewijzigd. ,,De Europese verordening zorgt er ook voor dat persoonlijke gegevens van de ene naar de andere vergelijkbare organisatie kunnen worden overgebracht, de zogenoemde dataportabiliteit. Als je bijvoorbeeld overstapt van Facebook naar Twitter dan kun je al je persoonsgegevens opvragen. De nieuwe regels maken de transparantie veel beter”, zegt onderzoeker David Korteweg van privacy-organisatie Bits of Freedom.

Een belangrijk deel van de AVG is ook dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen. Ook kunnen burgers eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens hebben gekregen, bijvoorbeeld als het gaat om zoekmachines op het internet.

De richtlijn staat vol met juridisch taalgebruik, verpakt in 99 artikelen. Het is daarom niet vreemd dat mkb-bedrijven die geen juristen in dienst hebben soms door de bomen het bos niet meer zien. Een voorbeeld: sommige organisaties moeten verplicht een Data protection impact assesment (DPIA) uitvoeren. Dit is een instrument om vooraf de privacyrisico’s te bepalen. Maar hoe doe je dat precies en hoe kun je dat bepalen?

Bits of Freedom ziet de haken en ogen aan de verordening haarscherp. De privacy-organisatie heeft er desalniettemin een ,,gematigd positief” oordeel over. Tegelijkertijd blijven er zorgen. ,,De regels zijn goed, maar onze grootste vraag is of zij kunnen worden gehandhaafd”, zegt Korteweg. ,,De praktijk zal moeten uitwijzen of de richtlijn slechts een papieren werkelijkheid is. De verordening staat of valt bij de handhaving door de autoriteiten en de naleving ervan door organisaties.”

Dit is de eerste aflevering van een serie over de nieuwe Europese regels over de bescherming van persoonlijke gegevens van burgers. De verordening gaat in op 25 mei

