Legal
Bekijk alle channels
  • Home
  • Legal
  • Europese Privacywet treedt nu in werking

Sabine Straver

DDMA
42,2K

Channel

Legal

Achtergrond -

Europese Privacywet treedt nu in werking

Op 24 mei 2016 trad de Algemene Verordening Gegevensbescherming in werking. Vanaf deze datum hebben bedrijven en overheden nog precies twee jaar de tijd om hun bedrijfsvoering aan te passen aan het nieuwe privacyregime. Het duurt namelijk nog twee jaar voordat de verordening daadwerkelijk van toepassing is in de lidstaten.

Het is al vaker gezegd, maar de verordening is rechtstreeks van toepassing. Dit houdt in dat onze huidige Wet bescherming persoonsgegevens – in de volksmond ook wel privacywet – één op één plaats moet maken voor deze Europese regels. Een voordeel hiervan is dat dezelfde privacyregels zullen gelden in elke Europese lidstaat.

Zwaardere documentatieplicht

De nieuwe Verordening regelt tot in detail hoe je met data moet omgaan. Goed om te weten is dat dat de ideologie niet is gewijzigd: de basisprincipes zijn hetzelfde. Uitgangspunt van onze huidige privacywet is transparantie en keuze, dat is in de Verordening niet anders. Wat met de komst van de Verordening wel verandert, is de zwaardere documentatieplicht. Organisaties moeten kunnen aantonen dat zij compliant gegevens verwerken.

Toepassingsgebied

Het toepassingsgebied van Europese privacywetgeving is bovendien uitgebreid, zowel materieel als geografisch. Dit houdt kort gezegd in dat bedrijven eerder te maken hebben met de privacyregels door een bredere definitie van persoonsgegevens en dat dit ook geldt voor bedrijven gevestigd buiten de EU, als zij persoonsgegevens van Europese burgers verwerken.

Ruimer begrip van persoonsgegevens

De definitie van persoonsgegevens wordt iets opgerekt:

‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.’

Bepaalde online data worden hiermee als persoonsgegevens aangemerkt, zoals unieke identifiers, locatiedata, cookie-ID’s en IP-adressen. Het blijft echter wel de vraag in hoeverre identifiers die gebruikt worden om louter interessegroepen te onderscheiden, onder de definitie van persoonsgegevens vallen.

Toestemming: vrij, specifiek, op informatie berustend en ondubbelzinnig

Toestemming dient gegeven te worden door middel van een duidelijke actieve handeling. Dit kan schriftelijk of elektronisch gebeuren, maar ook mondeling. Zolang er maar geen twijfel bestaat over de vraag of en waarvoor toestemming is gegeven. De verordening noemt als voorbeeld het aanvinken van een vakje, maar ook uit andere handelingen kan toestemming worden afgeleid. Denk aan het doorsurfen nadat een bezoeker geïnformeerd is over cookies. Waar het om gaat is dat een bezoeker begrijpt dat met die handeling (het doorsurfen) wordt ingestemd met cookies. Een niet-actieve handeling, zoals het gebruik van vooraangevinkte vakjes, levert geen ‘rechtsgeldige’ toestemming op.

Profileren opt-out

Profileren is nog steeds mogelijk op basis van het gerechtvaardigd belang. Dat wil zeggen dat daarvoor geen toestemming nodig is, omdat je als organisatie voldoende (ondernemers)belang hebt bij deze verwerking van persoonsgegevens

De verordening definieert profileren als: “de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen.”

Voor zover dit wordt ingezet om de consument gericht te benaderen, moet de consument zich daarvoor op een of andere manier kunnen afmelden/uitschrijven. Dit “nieuwe” recht van verzet (opt-out) voor wat betreft profilering voor direct marketing, mag je als bedrijf alleen gemotiveerd naast je neer leggen. Dat is een lastige.

Deadline: 25 mei 2018

Op 4 mei j.l. is de definitieve tekst van de verordening in alle officiële talen gepubliceerd in het EU‑Publicatieblad. Ondanks dat de Verordening op 24 mei – 20 dagen na deze publicatie – officieel in werking treedt, is de verordening vanaf 25 mei 2018 pas echt een feit.

*) Dit artikel is tevens gepubliceerd op de website van DDMA.

Gerelateerd event

Emerce E-commerce Live!

Innovation in e-commerce | Emerce E-commerce Live! 2024

Claim je early bird ticket
  • Locatie: Beurs van Berlage, Amsterdam
  • Datum: 5 juni 2024
Claim je early bird ticket

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond

Gerelateerde items
Legal

De grootste misvattingen over de nieuwe Europese Privacywet

De privacyverordening is een feit. De nieuwe Europese regels voor het verwerken van persoonsgegevens zijn vorige week aangenomen door het Europees Parlement en het laatste wachten is op de...
Legal

Wijziging Wbp vanaf 2016: meldplicht datalekken, groter boeterisico bij schending privacyregels

Per 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp). De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken. Maar voor de praktijk misschien...
Online advertising

IAB: ‘Nieuwe privacywet maakt online branche kreupel’

IAB Europe maakt zich grote zorgen over de nieuwe geharmoniseerde privacywetten die in 2018 van kracht worden in Europa. Ook Apple, Google, Microsoft en Nederland ICT zien economische hindernissen...