Financieel/Ondernemen

Nieuwe Europese privacywet stelt strengere eisen

Duidelijkheid over data

Door Gabi Ouwerkerk

De nieuwe privacywet geldt voor bedrijven en organisaties wereldwijd die persoonsgegevens van Europeanen verwerken.

De nieuwe privacywet geldt voor bedrijven en organisaties wereldwijd die persoonsgegevens van Europeanen verwerken.

123RF

Amsterdam - De Europese privacyverordening (AVG) gaat 25 mei van kracht. Ondernemers moeten onder de nieuwe wet transparant zijn over wat ze met gegevens van klanten doen. Ook kunnen ze hun ogen niet langer sluiten over wat er gebeurt met data van bezoekers op hun site.

De nieuwe privacywet geldt voor bedrijven en organisaties wereldwijd die persoonsgegevens van Europeanen verwerken.

De nieuwe privacywet geldt voor bedrijven en organisaties wereldwijd die persoonsgegevens van Europeanen verwerken.

123RF

De nieuwe privacywet, ook bekend als de General Data Protection Regulation (GDPR), is ingesteld om EU-burgers te beschermen tegen misbruik van hun persoonsgegevens. De wetgeving geldt niet alleen voor Europese bedrijven, maar voor alle bedrijven en organisaties wereldwijd die persoonsgegevens van Europeanen verwerken. Ook grootmachten als Facebook en Google en onbekende Chinese gadgetmakers die persoonsgegevens van EU-burgers verzamelen, moeten zich hier aan houden.

„Als je een Chinese app koopt, weet je nu als gebruiker niet waar je gegevens worden opgeslagen en wat ermee gebeurt”, waarschuwt privacy-expert Rejo Zenger van Bits of Freedom. Hij juicht de nieuwe regels dan ook toe, al gaat hij er niet vanuit dat alle Chinese aanbieders zich vanaf 25 mei keurig aan de regels houden en transparant zijn over de verzamelde gegevens. Grote buitenlandse spelers met vestigingen in Europa wel.

„Eigenlijk verschilt de AVG niet zoveel van de Nederlandse Wet bescherming persoonsgegevens (Wbp) die hij vervangt”, aldus Zenger. „In de basis zijn de regels hetzelfde. Er werd alleen niet voldoende op gecontroleerd. Het bleef bij waarschuwingen.”

Onder de AVG kan de boete oplopen tot €20 miljoen of 4% van de wereldwijde omzet. De meeste bedrijven die nu roepen dat ze niet aan de AVG kunnen voldoen, voldoen ook niet aan de Wbp.

De eisen die de nieuwe wet stelt, zijn wel strenger. Dat geldt bijvoorbeeld voor het vragen van toestemming bij bepaalde gegevensverwerkingen. Dat was al verplicht en gebeurde veelal in de vorm van vage juridische teksten. „Dat mag niet meer”, aldus de privacy-expert. „Je kunt als gebruiker alleen toestemming geven als je begrijpt waarvoor je die geeft. Dat geldt niet voor een 30-pagina’s tellende juridische tekst in superklein lettertype. Daar kan de gemiddelde consument niets mee. Als hij op ok klikt, is dat een loze handeling, want hij weet niet wat er staat.”

Ondernemers zijn niet alleen verantwoordelijk voor de data die ze zelf verzamelen, ze moeten ook weten wat er gebeurt met data die via hun website wordt verzameld. Zenger: „Als je software implementeert, bijvoorbeeld in de vorm van een advertentie, een feedback-knop of chatapplicatie, dan moet je weten welke code erin staat, of er data mee verzameld wordt en wat het bedrijf achter de software daarmee doet. Je stelt jouw gebruikers er immers bloot aan.”

Met externe partijen waaraan je persoonsgegevens doorgeeft zoals een websitebouwer, CRM-leverancier of salarisverwerker moet je als ondernemer een zogenaamde verwerkersovereenkomst afsluiten. Hierin regel je wat een leverancier wel en niet met de data mag doen. Als je software van derden die gegevens verzamelen voor eigen gebruik implementeert, zoals adverteerders, moet je er zeker van zijn dat die derden zich ook aan de wetgeving houden. Zenger: „Als je het juridisch niet kunt dichttimmeren, dan raad ik aan de functie niet in de website in te bouwen.”