De nieuwe privacywetgeving: a blessing or a curse?

door:
Op 25 mei treedt de nieuwe Europese privacywetgeving in werking. Eerst hadden de Europese lidstaten nog hun eigen wetgeving gebaseerd op een Europese richtlijn uit 1995. Nu moeten ze zich schikken naar de regels die de Europese unie hun oplegt door middel van de Algemene verordening gegevensbescherming (AVG). De aankondiging van deze wet zorgde al voor de nodige onrust omdat bleek dat 36% van de bedrijven, een half jaar voordat de wet in werking zou treden, niet voldoende voorbereid was op het inwerking treden van deze wet. Twee op de drie bedrijven gaf wel aan op de hoogte te zijn van de inhoud van de wet.[1] Nu we twee maanden voor de inwerkingtreding van de verordening zitten, lijken grote bedrijven er geruster op dat de nieuwe privacywetgeving geen grote problemen voor hen zal veroorzaken. Echter zitten de kleinere organisaties met hun handen in het haar. De privacywetgeving lijkt voor hun problematisch. Maar wat staat er nou precies in deze verordening en waarom verwachten vooral kleine bedrijven en instellingen zoveel moeilijkheden bij de implementatie van deze wetgeving?

Met de Algemene verordening gegevensbescherming probeert de Europese Unie in eerste instantie te bewerkstelligen dat individuen meer mogelijkheden hebben om voor zichzelf op te komen bij het verwerken van hun persoonsgegevens door bedrijven en andere instellingen. De bestaande privacyrechten worden uitgebreid en er komen twee nieuwe rechten.

Deze nieuwe rechten zijn: het recht op dataportabiliteit en het recht op vergetelheid. Het recht op dataportabiliteit houdt in dat personen recht hebben persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie. Het recht op vergetelheid is erg vanzelfsprekend. Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.

Hiernaast worden er dus ook een aantal bestaande rechten met betrekking tot privacy uitgebreid. Bedrijven en andere organisaties moeten bijvoorbeeld hun klanten duidelijker informeren over wat er precies gebeurt met de persoonsgegevens die zij verstrekken. Ook wordt het recht om bezwaar te maken aangescherpt. Betrokkenen hebben nu altijd het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens.[2]

De nieuwe wet geldt voor alle bedrijven, overheden, organisaties en verenigingen. Dus van multinationals tot aan hockeyclubs met maar drie teams. Maar waarom verwachten vooral kleine bedrijven en instellingen zoveel moeilijkheden met deze nieuwe wet?

Voor bijvoorbeeld een kleine sportclub betekent deze nieuwe wetgeving een hoop extra regellast voor de vrijwilligers die daar werken. Zo moet er straks toestemming worden gevraagd voor het publiceren van foto’s van jeugdleden. Dit kan gaan om teamfoto’s, maar ook foto’s van sportevenementen waar de jeugdleden aan meedoen. Bovendien moet er een stuk zorgvuldiger worden omgegaan met de persoonsgegevens van hun leden. Als een vrijwilliger een nieuwsbrief rondstuurt via de mail en dit doet op een manier waardoor iedereen kan zien wie die nieuwsbrief ontvangt, dan is er sprake van een datalek volgens de nieuwe wet. Een datalek moet, na de implementatie van de wet, bijgehouden worden door de vrijwilligers van de sportclub. Veel sportclubs zijn bang dat er veel fouten gemaakt gaan worden omdat vrijwilligers zich meestal niet verdiepen in nieuwe privacywetgeving. De bestuurders van de sportclub zijn bang hiervan de dupe worden. Zij kunnen namelijk op basis van de AVG hoofdelijk aansprakelijk gesteld worden voor deze fouten.[3]

Maar ook bij andere type organisaties, zoals een kleine zorginstelling, worden er problemen verwacht. Zij moeten namelijk straks verplicht een functionaris gegevensbescherming aannemen die verantwoordelijk is voor datastromen en persoonsgegevens. Heel veel kleine zorginstellingen hebben echter het geld niet om zo’n persoon in dienst te nemen. Het idee om één functionaris gegevensbescherming over meerdere kleine zorginstellingen te verspreiden lijkt ook te duur.[4]

De Autoriteit Persoonsgegevens, die straks verantwoordelijk is voor het toezicht op de nieuwe wet, lijkt nog geen concessies te willen doen voor de organisaties die op 25 mei eventueel in de problemen kunnen komen. Zij hebben het recht om boetes tot 20 miljoen euro uit te delen aan organisaties die zich niet aan de regels houden. De Autoriteit Persoonsgegevens liet in een reactie aan het AD weten dat het uitdelen van boetes geen doel op zich is en dat er ook waarschuwingen uitgedeeld kunnen worden.[5] Maar of de kleine voetbalclub om de hoek of de manager van een kleine zorginstelling hier geruster op worden, is zeer de vraag.


[1] Redacteur, ‘Bedrijven weten iets over privacywet, maar zijn er niet klaar voor’, fd.nl 7 maart 2018.

[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/

[3] Cyril Rosman, ‘Duizenden sportclubs niet klaar voor privacywet’, ad.nl 3 april 2018.

[4] Dirk Waterval, ‘Kleine zorgaanbieders vrezen financiële problemen door de nieuwe privacywet’, Trouw.nl 31 maart 2018.

[5] Cyril Rosman, ‘Duizenden sportclubs niet klaar voor privacywet’, ad.nl 3 april 2018.


Tags

privacy EU Persoonsgegevens AVG

Discussie