De privacywetgeving (GDPR - AVG) bepaalt hoe overheden en bedrijven, maar ook kleine organisaties en verenigingen moeten omgaan met data en privacy van anderen.
Wat is GDPR – AVG?
De Europese privacywetgeving, de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) regelt hoe er moet worden omgegaan met persoonsgegevens. De privacywetgeving is van toepassing in gans Europa.
Welke gegevens worden beschermd?
De wet beschermt alle gegevens die iets over u als persoon zeggen. Dat gaat van uw naam, telefoonnummer, adres en woonplaats tot uw IP-adres, uw surfgeschiedenis, uw online winkelkarretje en wat u leuk vindt en deelt op sociale media. Er bestaat ook zoiets als ‘bijzondere persoonsgegevens’. Dit zijn gevoelige gegevens die extra beschermd moeten worden, zoals uw godsdienst of gezondheid.
Zodra u al die gegevens deelt met anderen, moeten er speciale regels gerespecteerd worden. Gegevens delen met anderen kan u natuurlijk op verschillende manieren doen. Dat gaat van het invullen van een inschrijvingsformulier van de sportclub, tot het posten van een foto op Facebook of het bestellen van een boek op bol.com.
Hoe worden die gegevens beschermd?
De belangrijkste regel is dat bedrijven, overheden en verenigingen, dus ook het gemeentebestuur, uw gegevens niet zomaar mogen verzamelen en gebruiken. Dat kan enkel voor specifieke, in de wet vastgelegde doelen. Ze mogen enkel gegevens verzamelen als dat effectief nodig is voor een goede dienstverlening en moeten duidelijk aangeven waarom ze uw gegevens verzamelen.
Wie gegevens van anderen gebruikt en verzamelt, moet ook altijd kunnen aantonen dat dat zorgvuldig, veilig en verantwoordelijk gebeurt. Zo moet er altijd een dataregister worden opgesteld: een duidelijk document waarin staat welke gegevens worden bijgehouden, waar deze vandaan komen en met wie ze worden gedeeld.
Bedrijven, overheden en verenigingen mogen niet zomaar eender wat bewaren en verwerken, laat staan doorspelen aan partners. Ze moeten ook een duidelijke privacyverklaring opstellen, waar u kan lezen wat ze verzamelen, waarvoor ze dat doen, of ze uw gegevens doorgeven aan anderen en hoe lang ze die gegevens bijhouden.
Sommige organisaties, zoals overheidsbedrijven en bedrijven die op grote schaal gegevens verwerken en die data regelmatig gebruiken, moeten ook een data protection officer (DPO) aanstellen. Dat is een duidelijk aanspreekpunt voor alle kwesties rond databescherming.
Wie moet die strengere regels respecteren?
Overheden en bedrijven, maar ook kleinere organisaties en verenigingen. Kortom, iedereen die informatie van anderen bijhoudt. Dat gaat van ziekenfondsen en verzekeringen, tot grote bedrijven zoals Facebook, Zalando en Youtube. Maar ook jeugdbewegingen, sportclubs en kleine vzw’s vallen onder de AVG: zijn verantwoordelijk voor de gegevens die ze verwerken en moeten dus altijd kunnen zeggen hoe en waarom ze dat doen.
Ook jeugdbewegingen, sportclubs en kleine vzw's vallen onder de AVG.
Welke rechten hebt u zelf?
Iedereen die gegevens van zichzelf prijsgeeft, krijgt door de AVG belangrijke rechten. Zo hebt u altijd het recht om te vragen:
- welke gegevens er worden bewaard, hoe die werden verzameld, wat er mee gebeurt, waarom ze worden gebruikt en hoe lang ze worden bewaard.
- om die gegevens te verbeteren of om ze te laten wissen. U kan dus bijvoorbeeld altijd vragen dat een website uw foto offline haalt.
Toestemming
In bepaalde gevallen zullen bedrijven en verenigingen enkel uw gegevens mogen verzamelen als u daar uitdrukkelijk toestemming voor hebt gegeven. En dat wordt door de AVG moeilijker. Het op voorhand aangeduide vinkje bij ‘ik ga akkoord met uw privacybeleid’ volstaat niet. De toestemming moet specifiek, geïnformeerd en ondubbelzinnig zijn. Bovendien moet een toestemming intrekken even gemakkelijk zijn als een toestemming geven.
Wat als de regels niet worden gerespecteerd?
Wanneer u vermoedt dat uw gegevens worden misbruikt of bedrijven geen antwoord geven op uw vragen, kan u contact opnemen met de Gegevensbeschermingsautoriteit – de vroegere Privacycommissie. Die zal vanaf 25 mei 2018 controleren of iedereen de nieuwe privacywetgeving respecteert. Bedrijven en organisaties die dat niet doen, riskeren boetes tot twintig miljoen euro of tot vier procent van de globale jaaromzet, afhankelijk van welk bedrag het hoogste is.
Wie de regels niet respecteert, riskeert boetes tot twintig miljoen euro.
Meer info of vragen
- Gegevensbeschermingsautoriteit, Commissie voor de bescherming van de persoonlijke levenssfeer, Drukpersstraat 35, 1000 Brussel – tel. 02 274 48 00 - commission@privacycommission.be
- Speciale website voor jongeren: ikbeslis.be.