Met ingang van mei 2018 heeft de Europese Unie verklaard dat alle bedrijven in de Unie, evenals de bedrijven die de gegevens van EU-burgers gebruiken, de Algemene Verordening Gegevensbescherming moeten naleven. Deze wetgeving is ingevoerd met het oog op de bescherming van gebruikersgegevens en het beperken van het gebruik van de gegevens door bedrijven, wanneer de gebruiker daar niet van tevoren instemming voor heeft gegeven. De wet streeft ernaar om de controle van persoonsgegevens terug te geven aan de burgers, terwijl dit in het verleden onder de willekeurige controle stond van de bedrijven die de gegevens verzamelden.
N.B. Deze wet is van invloed op landen in de EU en op landen die zich in de Europese Economische Ruimte (EER) bevinden. Het verschil tussen de twee concepten is dat bedrijven in de EER niet noodzakelijk lid hoeven te zijn van de Europese Unie.
De Algemene Verordening Gegevensbescherming, in het kort AVG of in het Engels GDPR (General Data Protection Regulation) is een nieuwe reeks aan EU-voorschriften over de bescherming van persoonlijke gegevens en privacy.
De AVG vervangt de in 1995 geïntroduceerde Richtlijn 95/46/EG van het Europees Parlement en de Raad en bewaakt de behandeling van persoonlijk identificeerbare informatie (PII). Sinds de Richtlijn 95/46 EG gecreëerd werd, is het technologische landschap ingrijpend veranderd. Smartphones en social media bestonden in 1995 nog niet eens en worden om die reden niet door de richtlijn gedekt. Dat is een van de redenen waarom de Algemene Verordening Gegevensbescherming in het leven geroepen is.
De Algemene Verordering Gegevensbescherming legt verantwoording en verantwoordelijkheid af bij bedrijven en definieert wat bedrijven wel en niet kunnen doen met persoonlijke gegevens. Eventuele gegevensinbreuken dienen binnen 72 uur gemeld te worden, er moeten coderingsstandaarden worden vastgelegd, er moet duidelijk toestemming worden gevraagd aan de consument, er moet aangegeven worden voor hoelang de data bewaard mag worden en databescherming dient standaard gegarandeerd te worden.
Bepaalde organisaties zijn verplicht om een functionaris voor gegevensbescherming aan te stellen. Deze persoon wordt verantwoordelijk gehouden voor alles wat met gegevensbeheer te maken heeft en dient als primair contactpunt voor de regelgevende instantie. De nieuwe vereisten hebben een grote invloed op de manier waarop bedrijven met consumenten communiceren en ook op de manier waarop zij de gegevens die ze verzamelen mogen beheren.
De AVG voert controle uit over de persoonlijke gegevens van alle EU-consumenten. De gegevens die hieronder vallen zijn onder andere: voor- en achternaam, IP-adres (waaruit de locatie kan worden afgeleid), afbeeldingen, e-mailadres, woonadres, activiteiten op social media, bankgegevens en medische details. De verordening geeft de consument het recht om een kopie van zijn of haar gegevens te vragen, het recht om zichzelf op elk gewenst moment uit te schrijven opt-out en het recht om de persoonlijke gegevens te laten verwijderen, hoewel dit laatste geen universeel recht is.
Naleving van de AVG wordt door de Europese Unie afgedwongen met de richtlijn gegevensbescherming. De richtlijn biedt de juridische infrastructuur om de verordening te ondersteunen, de rechten van de consument op zijn persoonlijke gegevens te waarborgen en eventuele inbreuk te bestraffen.
De verordening is van toepassing op elke organisatie die de persoonsgegevens van EU-inwoners behandeld. Dit kan ook bedrijven in de Verenigde Staten, Azië en andere landen buiten de Europese Economische Ruimte betreffen, zolang deze toegang hebben tot Europese consumentengegevens.
De in 2018 geïntroduceerde AVG is een omvattende regelgeving die de regels in de Europese Unie en de Europese Ruimte harmoniseert. Dit vereenvoudigt het regelgevingslandschap voor bedrijven en verlaagt op hetzelfde moment de nalevingskosten. Volgens sommige opinies zou dit de EU een meer concurrerende markt kunnen maken, terwijl andere analisten voorspellen dat deze wet te beperkend zou werken en de EU op achterstand kan zetten in de wereldeconomie.
De officiële publicatie van de AVG is hier te lezen.
De deadline voor de implementatie van de verordening was 25 mei 2018, maar veel bedrijven hebben deze deadline niet gehaald vanwege de omvang van de wijzigingen die het met zich meebrengt.
De impact van de nieuwe verordening op de bedrijfsmodellen van sommige organisaties is gigantisch. Techgiganten zoals Google, Facebook en Amazon hebben met flinke uitdagingen te maken gekregen rondom de nieuwe hervormingen.
Wat in de Engelse taal de General Data Protection Regulation wordt genoemd (GDPR), heet in het Nederlands de Algemene Verordening Gegevensbescherming (AVG). Omdat de AVG overkoepelend is voor alle lidstaten van de Europese Unie, wordt met de invoering van de verordening automatisch de Nederlandse Wet bescherming persoonsgegevens vervangen, die op 1 september 2001 in werking was getreden.
Sinds zijn introductie heeft de AVG een grote impact gehad op de bedrijfsactiviteiten van verschillende internationale bedrijven, omdat ze gebruikmaken van gegevens van inwoners van de Europese Unie. Bedrijven die niet bereid zijn de AVG-richtlijnen te respecteren, zoals het Pinterest-bedrijf Instapaper, hebben de toegang voor EU-gebruikers tijdelijk geblokkeerd om boetes te voorkomen. Andere bedrijven hebben zich voorbereid op de nieuwe wetgeving door op hun websites aan bezoekers te vragen toestemming te geven voor het gebruik van hun persoonlijke gegevens.
Er kunnen boetes worden opgelegd voor het niet naleven van de verordening, nadat in eerste instantie een waarschuwing is afgegeven. Afhankelijk van de aard van het misdrijf is de op te leggen straf maximaal 10 miljoen dollar of 4 procent van de volledige inkomsten van de organisatie, afhankelijk van welk bedrag hoger is.
Facebook is het eerste bedrijf waarvan de naleving van de verordening zal worden onderzocht. De social media-gigant zou in het geval van overtreding een gigantische boete kunnen riskeren. De AVG vereist dat Facebook, alsmede andere sociale platformen zoals Instagram en Twitter, expliciet toestemming vragen aan de consument voor het delen van persoonlijke gegevens.
Facebook meldt dat het, in overeenstemming met de nieuwe wetgeving, transparantie zal bieden aan zijn leden over hoe de gegevens gebruikt kunnen worden. Ook krijgen leden de volledige controle over hun persoonlijke gegevens. Facebook verklaart dat het regelmatig contact heeft met regelgevers, beleidsmakers en privacyexperts over de hele wereld, met als doel de manier waarop het platform persoonsgegevens beschermt continue te verbeteren.
Google heeft een aanzienlijke voetafdruk in de Europese Unie en staat daarom onder sterk toezicht door de AVG. Net als Facebook, vraagt Google zijn gebruikers vooraf toestemming voor het gebruik van hun persoonsgegevens. Als Google toch schuldig zou worden bevonden aan het niet naleven van de AVG, zou de hoogte van de boete daarvoor potentieel 4 miljard euro (4,5 miljard dollar) kunnen bedragen.
Google bevestigt echter dat het alle wetten van databescherming naleeft. "Het veilig maken en veilig houden van gebruikersinformatie behoort tot onze hoogste prioriteiten", aldus Google. "We zijn vastbesloten om aan de nieuwe wetgeving te voldoen en zullen gedurende dit hele proces samenwerken met partners en professionals."
Afbeelding: © migmaxic - 123RF.com