Vandaag begint een nieuw tijdperk in het internetrecht: de AVG is van kracht #avg

Vandaag is het zo ver: de Algemene Verordening Gegevensbescherming (AVG of GDPR) is van kracht. Vanaf vandaag moeten bedrijven zich aan strenge compliance-regels houden en met bewijs laten zien dat ze de privacy van hun klanten respecteren. En mensen hebben nu stevige, afdwingbare rechten om te weten wat er gebeurt met hun persoonlijke informatie, om te eisen dat dit wordt gecorrigeerd en zelfs dat die wordt verwijderd als het niet meer relevant is. Ik durf wel te stellen dat met de AVG er een nieuw tijdperk in het internetrecht of informatierecht is begonnen: niet langer is het de intellectuele eigendom die de spanning geeft bij internetbedrijven, maar de privacywetgeving.

En nee, dit is écht significant meer dan privacyophef en stemmingmakerij. De aandacht voor privacy is echt nieuw, en het feit dat organisaties nu en masse zich heroriënteren op hoe om te gaan met persoonsgegevens vind ik winst voor de maatschappij. Natuurlijk zijn er hierdoor veel, heel veel nieuwe zorgen en vragen, maar dat zie ik als positief: nu komt er een kans om de fouten uit het verleden te herstellen.

Dit biedt me dan tevens de gelegenheid om eens opnieuw te kijken wat volgens mij internetrecht is. Ik zie dat als in feite de technologie-geörienteerde visie op het informatierecht, wat dan weer (Dommering, 1999) het recht is rond de botsende grondrechten uitingsvrijheid, privacy en intellectuele eigendom. Daar hoort dan nog de vrijheid van onderneming bij, zodat je vier grondrechten krijgt die met elkaar botsen. Casussen informatierecht los je op door die botsende grondrechten tegen elkaar af te wegen.

Het internetrecht beschouwt die vier botsende grondrechten niet in isolatie, maar kijkt vanuit de perspectieven van de technologische innovatie en de (pogingen tot) regulering daarvan daar op neer. Internet (en ICT meer algemeen) is continu aan innovatie en verandering onderhevig, en wetgevers proberen continu grip daarop te krijgen. Dit beïnvloedt die botsingen dan weer, een nieuwe wet geeft een bepaald recht meer armslag of beïnvloedt juist hoe die rechten in elkaar doorwerken.

Je krijgt dan dit:

Vanwege deze ontwikkeling heb ik dan tevens de categorieën in mijn blog teruggebracht tot alleen deze elementen, plus nog contracten (omdat dat nu eenmaal de praktijk is), de informatiesamenleving (zeg maar “Algemeen”) en de restcategorie Iusmentis (over deze blog).

Ik blijf worstelen met hoe het fenomeen van de platforms en de horizontale regulering die daar vanuit gaat in te passen. Het is voor mij uniek dat bedrijven zó veel macht hebben en meer dan overheden vaak invloed kunnen uitoefenen op het gedrag van de burger. Dat gaat privacy aan, maar ook de andere rechten – van bedrijven die van Ebay worden geweerd tot rechthebbenden die niets kunnen met hun rechten of uitingen die nergens meer terecht kunnen. Dat gaat dus stof genoeg opleveren voor nóg tien jaar internetrecht, geen twijfel.

Arnoud

11 reacties

  1. Als ik het aantal privacy-statement mails in mijn inbox tel, dan is de wet nu al een eclatant succes. ?

    Ik gooi ze allemaal in een folder, heb ik alvast een overzichtje van alle bedrijven waar ik een account heb. Handig als ik mijn wachtwoord wil wijzigen of ga verhuizen.

  2. Net nu het te laat is, heb ik wat GDPR-gerelateerde vragen. 🙂

    1) Webwinkels zijn verplicht contactgegevens op te nemen. Bij kleine winkels zijn dit persoonsgegevens. Wat weegt zwaarder, je recht op privacy of je plicht om aan de dienstenrichtlijn te voldoen? (Het zou wel heel cru zijn als privacy voor iedereen zou toenemen, behalve voor kleine ondernemers.)

    2) Ik gebruik een extern systeem om backups van mijn persoonlijk blog op te slaan. Dit moet ik neem ik aan vermelden in mijn privacyverklaring, inclusief een link naar de privacyverklaring van de dienstverlener? Maar als ik dat doe, maak ik het aanvallers gemakkelijker de persoonsgegevens uit die backup te onderscheppen. Ondermijnt de privacyverklaring op zo’n moment niet het doel van de wet?

    1. Ad 1): Zie Artikel 6, lid 1, punt b van de AVG. Ad 2): Ik zie inderdaad een spanning tussen Artikel 13, lid 2, punt f van de AVG “nuttige informatie over de onderliggende logica” en Artikel 32. Niet helemaal dezelfde situatie (meer bij spam- en inbraakbeveiliging), maar verwant. M.i. mag je dan het niet voldoen aan het één verdedigen met het ander, d.w.z. je maakt zelf je afweging tussen voorschriften die in de praktijk tegenstrijdig kunnen uitwerken.

      Link: http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679

  3. Het is mij na het bestuderen van diverse lezingen en interpretaties van de AVG nog steeds niet duidelijk of een organisatie gegevens mag vragen die niet primair voor de aangeboden dienst benodigd zijn, maar voor een secundair doel worden verzameld.

    Mag een autodealer mij bijvoorbeeld verplichten om mijn persoonsgegevens (zoals naam, email-adres of telefoonnummer) in te vullen als ik op hun website de waarde van mijn auto wil opvragen? Deze kan immers gewoon op de site getoond worden. De gegevens dienen dus niet voor het verstrekken van de offerte, maar om mij te spammen met aanbiedingen en verkoopgesprekken waar ik geen behoefte aan heb.

    Als de AVG mij het recht geeft om te eisen dat dergelijke gegevens uit de administratie van organisaties worden verwijderd, dan lijkt het mij niet logisch om toe te staan dat deze verplicht verstrekt moeten worden als hier voor de afwikkeling van de transactie geen noodzaak voor is.

    Ik weet dat het me vrij staat om de betreffende dienst in dit soort gevallen niet af te nemen, maar mijn vraag is of ik mag verwachten dat deze evengoed wordt verleend zonder dat ik hiervoor mijn doopceel moet overleggen.

    1. Mag een autodealer mij bijvoorbeeld verplichten om mijn persoonsgegevens (zoals naam, email-adres of telefoonnummer) in te vullen als ik op hun website de waarde van mijn auto wil opvragen?

      Ik denk van wel. Maar: er moet duidelijk worden gemaakt dat dat de bedoeling is van het verzamelen van de gegevens tijdens het invullen, en natuurlijk moet er een heldere privacyverklaring zijn (plus de hele rits randvoorwaarden van de AVG). Daarmee is de grondslag voor de verwerking dus jouw toestemming, en het doel marketing. De transactie is dus: ik geef jullie mijn gegevens in ruil voor jullie waardeschatting.

      Je kunt inderdaad direct na het ontvangen van de informatie verwijdering van je persoonsgegevens eisen. Maar de aanbieder rekent er natuurlijk op dat de meeste mensen die moeite niet nemen.

      Ik zie echter geen reden om aan te nemen dat bedrijven nu verplicht worden gratis diensten te leveren zonder tegenprestatie.

      1. Bij mij werkt een dergelijke verplichting averechts. Als de offerte interessant is, dan neem ik wel contact met hen op i.p.v. dat een opdringerige verkoper mij hier tegen mijn uitdrukkelijke wil van probeert te overtuigen. Bij een recente ervaring werd mijn email-adres, telefoonnummer en contactvoorkeur gevraagd. De optie “geen” ontbrak en ondanks dat ik voor “email” koos, vond ik evengoed 3 berichten op mijn voicemail en heb ik ondanks een herinnering nooit een mail ontvangen.

        Deze situatie speelt overigens niet alleen bij gratis diensten. Ook bij bestellingen in een webshop wordt vaak zonder aanwijsbare reden om mijn telefoonnummer gevraagd. Of zoals laatst om mijn geboortedatum (“u moet volwassen zijn om hier te winkelen”). Het ging om een schoenenwinkel.

  4. Toch apart. Ik krijg een hoop mails met een verwijzing naar geupdate privacy policies op hun website, maar ze vragen niet expliciet om toestemming om mijn gegevens te mogen verwerken. Ik dacht dat dit nu toch expliciet moest? Sommige mails melden dan nog wel net dat indien je doorgaat met gebruik van onze services gaat u akkoord met deze voorwaarden. Dat noem ik niet expliciet vragen of wel?

    1. De privacyverklaring is niet meer dan een bijsluiter, informatief. Je hoeft geen toestemming te vragen om iemand te informeren over wat je doet. Natuurlijk mogen ze niet op grond van een zin in de privacyverklaring iets doen waarvoor toestemming nodig is, toestemming vraag je apart.

  5. Gaat nu eindelijk ook het aantal berichten over de AVG/GDPR die ik in mijn mailboxen ontvang eindelijk weer eens omlaag? 🙂 Het heeft wel een bijzonder effect gehad omdat ik ook emails heb ontvangen van recruiters, TrustPilot en enkele andere sites waarvan ik niet eens wist dat ze mijn gegevens hadden. Vooral dat recruiters nu moeten melden dat ze mijn gegevens hebben vind ik wel handig, want nu kon ik mij bij ze uitschrijven. En hopelijk stopt hun spam eindelijk eens…

    Maar dat betwijfel ik…

  6. Wat ik leuk vind is dat de Cookiewet sinds afgelopen vrijdag eindelijk werkt zoals bedoeld: ik krijg nu her en der de vraag of ik advertentiecookies wil accepteren. Maar nu krijg ik ook de optie om ‘nee’ te antwoorden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.