Wbp move over: de Europese Privacyverordening is hier!

wbp-west-bengal-policeNa buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers. Dat werd hoog tijd, want die oude regels waren uit 1995 en toen werkte internet iets anders dan nu. Wat betekent de privacyverordening voor de praktijk?

De definitieve tekst laat zien dat het in principe vooral méér, méér, méér regeltjes op gaat leveren. Er zijn geen volstrekt nieuwe begrippen of fundamenteel andere insteken. Het is aanscherpen, verdiepen, en vooral meer verplichten voor bedrijven die omgaan met persoonsgegevens. In theorie moet dit de privacy van de burger zeer ten goede komen. Maar ik ben bang voor een cookiewet on steroids: alle waarborgen uit de Verordening ten spijt zie ik de duizenden popups met “Graag willen wij uw uitdrukkelijke toestemming” al voor me.

Het begrip ‘persoonsgegeven’ wordt een eind opgerekt. Het gaat niet perse meer over identificeren aan de hand van iemands naam of contactgegevens: ook locatie en online nicknames zijn nu beschermde data geworden:

an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Hiermee komt (hoop ik dan) een einde aan de discussie of een IP-adres, kenteken, nickname of “die meneer op de achterste bank met dat rode shirt” nu een persoonsgegeven is. Dat zijn ze: ze identificeren iemand aan de hand van een bepaalde identifier, en dat is genoeg. Een naam is ook maar gewoon een tekentje.

Ook de toestemming wordt opgerekt. Waar de huidige wet een vrije, specifieke en op informatie beruste uiting vereiste, luidt de huidige riedel als volgt:

any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

De toestemming moet dus nu ook “niet-ambigu” zijn, en er moet een verklaring of duidelijke bevestigende handeling zijn. Uit impliciet handelen valt dus geen toestemming meer af te leiden. En oh ja:

If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language.

Wil je dus meerdere dingen vragen waarvan eentje een privacytoestemming is, dan zul je die privacytoestemming apart moeten vragen in gewone taal. En dit is dus waarom ik duizenden cookiepopups verwacht onder de nieuwe wet.

Het ‘recht te worden vergeten’ staat ook in de Verordening. Inhoudelijk weinig nieuws: je hád al het recht je gegevens te laten wissen als ze niet meer relevant zijn, en gewist worden in Google-zoekresultaten is niet anders dan gewist worden bij een winkel waar je jaren terug eens wat bestelde. Wel nieuw is dat de verantwoordelijke nu ook de plicht krijgt bij collega’s die deze data van hem hebben gekregen, het ook daar te laten verwijderen.

Verder heb je straks het recht een kopie van je data te krijgen in een portable formaat, zodat je deze bijvoorbeeld bij een andere dienstverlener kunt laten importeren. (Wel moet het gaan om geautomatiseerde diensten én moet de data verwerkt zijn krachtens toestemming of een contract.)

Verwerken zonder toestemming mag op zich nog steeds, mits je het kunt rechtvaardigen onder een eigen dringende noodzaak. Nieuw is dat mensen bezwaar kunnen maken tegen dergelijke verwerkingen. Bij zo’n bezwaar moet de verantwoordelijke vervolgens een stevige motivatie geven waarom ondanks het bezwaar hij tóch verder mag gaan. En dit wordt nog een leuke: specifiek bij profiling voor direct marketing is die motivatie per definitie niet mogelijk. De vraag voor de komende vijf jaar wordt dus of getargete internetadvertenties hieronder vallen.

De nieuwe wet zet veel zwaarder in op compliance. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toesteming verkregen is). Bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En bedrijven wiens kernactiviteit het

processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale

is, moeten een onafhankelijke privacy officer aanstellen.

Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 20.000.000 per overtreding of 4% van de wereldwijde jaaromzet voor de grote overtredingen en 10 miljoen/2% voor de meer formele dingen. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen ‘pakken’ is expliciet de bedoeling. Deze vallen volgens de Verordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt. (En hee, komt dát even handig uit dat ze allemaal hun omzet via een Nederlandse IP-bv doorstromen.)

De Verordening is alles bij elkaar 261 pagina’s juridische taal, dus dat gaat nog wel even flink wat gepuzzel worden voor mij en mijn collega’s. En dat roept gelijk wel een zorg bij me op: deze wet is zó groot, kun je daar wel aan voldoen? Of omgekeerd, deze wet is zó groot, daar is altijd wel een truc in te vinden om er onderuit te komen. Dus was dit wel een goed idee, zó veel ineens regelen?

Arnoud

26 reacties

  1. “De Verordening is alles bij elkaar 261 pagina’s juridische taal”….. “En dat roept gelijk wel een zorg bij me op: deze wet is zó groot, kun je daar wel aan voldoen?” Ik heb daar totaal geen medelijden mee. Het is maar een fractie van het aantal pagina’s juridische taal aan algemene voorwaarden die ik tot nu toe werd geacht door te nemen. 😉

  2. Hetgeen mij vooral op valt is dat er veel vrijheid is voor de lidstaten om nadere regels te stellen. Dat lijkt mij niet helemaal de gedachte van een verordening! Juist implementatie verschillen tussen de lidstaten zouden verleden tijd moeten zijn met de komst van deze verordening.

    1. Waar doel je op, iets principieels of zie je een voorbeeld waar ongewenste diversiteit mogelijk is of zelfs te verwachten is?

      (Ik las op wikipedia bij Europese_verordening “Omdat een verordening niet door de lidstaten mag worden getransformeerd in nationale wetgeving, leidt een verordening in alle lidstaten van de Unie per definitie tot een gelijk resultaat.” en had daarom (vast naief) verwacht dat we nu uniforme wetgeving zouden hebben … ).

      1. In heel veel artikelen is er een lid die lidstaten mogelijkheid geeft om nadere regelgeving vast te stellen. Zoek maar op “lidstaten kunnen” bijvoorbeeld. En dat is vreemd, want net zoals je aangaf met je Wikipedia quote is het normaliter bij een verordening zo dat lidstaten de regelgeving hoeven te implementeren in nationale wetgeving met alle interpretatie verschillen vandien.

    1. Eisen voor de uitwisseling staan in afdeling V van de verordening. Volgens mij blijft de eis van een passend beschermingsniveau bestaan zoals die nu ook geldt en wijzigt er in die zin niets ten opzichte van de huidige onduidelijke situatie.

  3. Mooi om te horen dat er toch scherpere regels voor ons internet-tijdperk erbij zijn gekomen. Nu benieuwd hoeveel hiervan ook daadwerkelijk uitvoerbaar is. Denk vooral dat er veel voorbeelden moeten komen van vaak voorkomende constructies en of deze voldoen, of hoe ze wel kunnen voldoen.

    Leuk voor een aantal blogs, niet? 😉

  4. Waar de huidige wet een vrije, specifieke en op informatie beruste uiting vereiste, luidt de huidige riedel als volgt:

    Ook mooi is dat nu vereist is dat de toestemming net zo gemakkelijk in te trekken moet zijn als het toestemming geven (art 7 lid 3):

    It shall be as easy to withdraw consent as to give it.

    Daarmee maakt dus men dus een einde aan de praktijk dat vereist wordt dat je een papieren brief moet sturen met kopie legitimatiebewijs om je toestemming in te trekken.

  5. Heerlijk! Eindelijk!

    Niet dat deze verordening nu het walhalla is – integendeel, er zijn inderdaad overbodige paarse krokodillen en inderdaad zijn er tegelijk ook nog allerlei mazen – maar ik zie het veel minder somber in. De Algemene Verordening Gegevensbescherming (AVG) betekent werkelijke vooruitgang als het gaat om het recht op bescherming van de persoonlijke levenssfeer en het recht op gegevensbescherming – beide (afzonderlijke) grondrechten en sinds het Verdrag van Lissabon zaak van de EU.

    De verbeteringen zijn drieledig: • de scope is breder: de definitie van persoonsgegeven is ruimer, je krijgt ook als kleine organisatie sneller te maken met de regels, de rechten van betrokkenen zijn uitgebreid. • toezicht verandert: niet alleen hogere boetes, maar ook ‘one stop shop’, en niet alleen toetsing achteraf op feitelijke overtreding maar ook vooraf op de mogelijkheid van incidenten (minder strafrechtachtig en meer accountability/audittrail). • welomschreven eisen aan verwerkers: verplicht privacybeleid, verplichte FG, privacy by design and by default.

    Je zou het kunnen samenvatten als: bredere operationele relevantie, een groter afbreukrisico en borging in processen en systemen in plaats van in regels. Precies wat nodig is als je zeggenschap van betrokkenen over hun gegevens serieus neemt en de vrijblijvendheid aan de verwerkerskant wil inperken.

  6. De vrees voor talloze pop-ups (en meer dan nu) lijkt terecht, maar is niet het gevolg van deze wetgeving. De wens van web-sites om te grossieren in veel te veel informatie is de oorzaak. Elke dergelijke pop-up leidt bij mij tot het verlaten van de site; geen telegraaf.nl of volkskrant.nl dus voor mij. Mijn vraag is of een dergelijke vorm van consumentenstaking impact heeft. Je zou verwachten dat dit op een gegeven moment in de statistieken terugkomt en dat sites eieren voor hun geld kiezen. Heeft iemand daar (aan de site-analyse kant) ervaring mee?

  7. Ik voorspel heel veel werk voor software developers in de toekomst om deze wet correct te implementeren. 🙂 Maar ik voorspel ook problemen voor al die kleine bedrijfjes en winkels die ook online een webwinkel beginnen en zich niet bewust zijn van deze regelgeving, en daarbij de site laten bouwen door het neefje van de schoonzoon van je kleindochter of zo, omdat die wel eens met PHP iets in elkaar heeft gezet. Vooral de kleine sites zullen hier hinder van ondervinden, vrees ik. Want deze wet mee implementeren in je webwinkel maakt de ontwikkeling ervan weer een stuk duurder… Dat weet ik toevallig omdat een nichtje van mij ooit vroeg of ik een webwinkel voor haar zaak kon maken. Nadat ik even de wettelijke consequenties heb uitgelegd, inclusief de regelingen betreffende het retourneren van bestelde artikelen, besloot ze om maar af te zien van een winkel en gewoon een simpele pagina te maken, zonder bezoekers te registreren of koopmogelijkheden…

  8. Waar ik vooral benieuwd naar ben, is hoe dit gehandhaafd zal gaan worden. Ik lees over boetes die opgelegd kunnen worden, maar als ik nu een hobby-webwinkel begin met een goedkope template en lekker zelf-gehaakte licht verteerbare bio melkbekers ga verkopen, ofzo. En dan houd ik met niet aan deze nieuwe privacywet, wat dan? En daar zit een beetje de crux. Zat websites die nog lang niet voldoen aan de cookiewet, maar wordt daarop gehandhaaft? Ja, als je de NPO bent, maar die duizenden kleine sites (die misschien niet eens meer onderhouden worden, dus wat is dan feitelijk het privacyprobleem als er geen beheerder meer meeleest?), daar hoor je nooit over dat ze een waarschuwing of boete krijgen.

  9. Als brave burger maakt het niet uit of je gegevens door een biomelkboer of door de NPO gelekt worden, de gevolgen zijn voor jou hetzelfde. Dáárom moeten alle organisaties groot of klein goeddeels aan dezelfde strenge eisen voldoen.

    De handhaving is inzoverre makkelijker, dat vooraf aangetoond moet worden dat je procedures en systemen goed ingericht zijn, dat je PIA’s hebt uitgevoerd, dat je de juiste informatie verstrekt etc. Bovendien krijgen auditors en accountants een rol in het benoemen van risico’s en het goedkeuren van processen. Een toezichthouder kan dan breed verzoeken rondsturen om documenten die aantonen dat het snor zit. Men hoeft niet te wachten tot er daadwerkelijk iets mis gaat om dan te gaan zwartepieten; je moet straks vooraf kunnen laten zien dat je er alles aan gedaan hebt dat het niet mis kan gaan.

  10. Als de privacy hiermee goed geregeld is, is dat natuurlijk een grote winst voor de burger. Dit lijkt daarnaast een geweldige wet voor de grote IT dienstverleners. Voor de kleine ondernemers die iets op internet willen doen, zijn de vele regels en zware processen mogelijk een drama. Ik vraag me af of dit gaat bijdragen aan de innovativiteit en concurrentie-positie van de Europese software industrie.

    Iemand hier zicht op?

    Tot slot een juridische vraag: gaat deze hele wet nu ook per direct in?

    1. Nee, moet eerst gepubliceerd worden en dan is er een overgangsperiode van twee jaar – dus waarschijnlijk mei 2018. Wel direct geldend recht in de lidstaten zonder dat omzetting in lokale wetgeving nodig is (want Verordening en geen Richtlijn).

  11. Vraag 1: Worden deze regels ook van toepassing op de KvK en de belastingdienst, voor zover die openbaarheid van persoonsgegevens eist. Worden dergelijke eisen begrensd, c.q. illegaal? Vraag 2: Als een persoon privé, dus niet bedrijfsmatig of met handelsoogmerk vanuit zijn blog of anderszins adressen bijhoudt van mensen die bijvoorbeeld reageren of een vraag stellen. Gelden er dan ook allerlei regels of gaan die nu gelden?

  12. Hiermee komt (hoop ik dan) een einde aan de discussie of een IP-adres, kenteken, nickname of “die meneer op de achterste bank met dat rode shirt” nu een persoonsgegeven is. Dat zijn ze: ze identificeren iemand aan de hand van een bepaalde identifier, en dat is genoeg. Een naam is ook maar gewoon een tekentje.

    Dat geloof ik niet. Identificatie is geen ja/nee-eigenschap. Er zijn heel veel aanduidingen die wel iets zeggen over een persoon zonder die persoon precies aan te wijzen. Toevallig was ik gisteren op een cursus een van de twee van de mensen op de achterste bank met een rood vest aan. Stel iemand vertelt over die cursus en noemt dan “die meneer op de achterste bank met dat rode shirt”. Dat zou goed kunnen. Is dat dan een persoonsgegeven? Identificeert het mij? Voor de spreker blijkbaar wel. Misschien dacht hij aan mij, omdat hij het vest van de ander oranje vond. We weten het niet. We kunnen het niet voorspellen, en we kunnen het achteraf ook niet vaststellen. Sowieso zal niemand die niet bij de cursus is geweest weten wie er mogelijk bedoeld kan zijn. Maar weer wel als de spreker eerder of later expliciet vertelt dat die persoon met dat rode shirt mij is. Misschien moet ik daarvoor de spreker alsnog vragen wie er bedoeld werd, en misschien weet de spreker dat dan, misschien ook niet.

    Voor IP-adressen geldt hetzelfde. Veel zijn er niet te herleiden naar een persoon, maar bijvoorbeeld alleen naar een bedrijf of instantie. Veel zijn wel degelijk te herleiden naar een persoon, maar alleen met extra informatie: dat herleiden kan meestal lang niet iedereen doen, lang niet altijd betrouwbaar, en steeds minder goed naarmate het langer geleden is. Je kunt dus zeker niet categorisch zeggen dat een IP-adres een persoonsgegeven is, als daarmee nog steeds wordt bedoeld: een gegeven dat informatie geeft over een bepaalde persoon.

    1. Een deel van privacy-gerelateerde problemen komt juist door het gebruik van onbetrouwbare persoonsgegevens. Je krijgt dan “computer says no” situaties, bijv. dat je niet in aanmerking komt voor veel zaken doordat een vorige bewoner van jouw huis er vandoor is gegaan zonder schulden terug te betalen, of dat je niet bij bepaalde websites komt omdat jouw IP-adres bekend staat als behorend tot een ander land.

          1. Dat iemand autistisch is, betekent niet automatisch dat hij of zij ook “achterlijk” is.

          2. Waarom is de AP zo’n onaangename organisatie? Ik ben te veel leek om hier inzicht in te hebben. Voorzover ik kan zien doen ze hun best met de extreem schaarse middelen die ze hebben.

          1. Klopt, er had een komma tussen gemogen 🙂 Maar alleen al dat je je een naamsverandering naar “Autoriteit Persoonsgegevens” laat aanleunen of zelf initieert zegt al genoeg. Ik vind de toename van regelgeving over privacy (en het boetebeleid) grenzen aan krankzinnigheid. En bijvoorbeeld dat recht op vergeten ook (wat iets anders is dan het verplicht verwijderen van onwaarheden). Als je ze een keer aanschrijft om een omissie in de wetgeving onder hun aandacht te brengen (zie mijn vraag hierboven) dan krijg je een dooddoenerig standaard antwoord dat er feitelijk op neerkomt dat het in het ronde archief verdwijnt. Gelijktijdig wordt er veel te weinig structureel gedaan aan zaken als spam en zo. Dat is dan weer een ander loket (OPTA) en ik ben opgehouden daar te rapporteren wegens vergaande zinloosheid.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.