woman with camera

De Algemene Verordening Gegevensbescherming in gewonemensentaal

Published: 19 april 2018 Laatst bijgewerkt: 17 april 2019

Privacy en Big Data-onderzoeker dr. Bart van der Sloot van het Tilburg Institute for Law, Technology, and Society (TILT) schreef een handzaam boek over de Algemene Verordening Gegevensbescherming (AVG): De Algemene Verordening Gegevensbescherming in gewonemensentaal. De Verordening van de Europese Unie gaat vanaf mei 2018 in en is op vrijwel iedereen van toepassing.

Ook wetenschappers die gegevens over personen verwerken in het kader van onderzoek hebben te maken met de AVG, net als docenten of onderwijsassistenten die gegevens over studenten bijhouden en collega’s die de salarisadministratie doen of die zich bezighouden met marketing. Vrijwel altijd is een deel van de gegevens die je verwerkt een ‘persoonsgegeven’ en is de Verordening van toepassing.

De Verordening bevat maar liefst 88 pagina’s aan gedetailleerde regels waaraan je moet voldoen als je gegevens over personen verwerkt, met niet minder dan 99 wetsartikelen en 173 overwegingen die uitleg geven aan die artikelen. In de AVG staan regels over bewaartermijnen, onder welke voorwaarden je gegevens mag verzamelen en mag delen met organisaties in andere landen, en wanneer je extra gevoelige gegevens mag verwerken, bijvoorbeeld over iemands gezondheid of etniciteit. Ook staan er verplichtingen in over transparantie, documentatie, organisatie-inrichting en de beveiliging van gegevens. 

De Algemene Verordening Gegevensbescherming in gewonemensentaal is geschreven in begrijpelijk en niet-juridisch jargon en is bedoeld voor iedereen die in simpele taal willen weten wat de nieuwe regels precies behelzen en wat de achtergrond daarvan is.  

Waarom is het belangrijk om de inhoud van de AVG te kennen? Naast het feit dat het de wet is en het belangrijk is om de wet te volgen natuurlijk dan. Hieronder vijf extra overwegingen:

  1. Partnerorganisaties: Voor organisaties waarmee je samenwerkt is het steeds belangrijker om zeker te weten dat hun partners zich aan de AVG houden. Dat komt doordat in de Verordening is bepaald dat partnerorganisaties vaak deels verantwoordelijk kunnen worden gehouden voor de fouten die worden gemaakt door organisaties waarmee zij samenwerken. Blijkt dus dat jouw organisatie zich niet houdt aan de regels uit de Verordening, dan kunnen met jou samenwerkende organisaties besluiten de samenwerking tijdelijk op te schorten of in zijn geheel te beëindigen.
  2. Klantencontacten: Ook voor klanten is het vaak belangrijk om te weten dat een organisatie zich aan de regels houdt. Privacy en gegevensbescherming zijn hot topics en vaak in het nieuws. Klanten zijn zich in toenemende mate bewust van hun rechten en nemen de bescherming van hun rechten mee in de keuze voor de ene of andere organisatie. Bovendien hebben klanten onder de Algemene Verordening Gegevensbescherming een aantal rechten dat ze kunnen inroepen – voldoe je als organisatie niet aan de regels uit de AVG, dan kost dit veel tijd, energie en teleurgestelde klanten voordat je de zaken weer op orde hebt.
  3. Reputatie(schade): Het je houden aan de regels uit de Verordening of het zelfs meer rechten geven aan klanten dan strikt genomen noodzakelijk, kan een positieve uitstraling hebben op je organisatie. Net zoals proactief milieubeleid onderdeel kan zijn van de policy aangaande maatschappelijk verantwoord ondernemen, kan het promoten van veilige en verantwoorde gegevensverwerking de reputatie van je organisatie ten goede komen. Aan de andere kant kan een inbreuk leiden tot veel negatieve aandacht. Denk aan de keren dat er een datalek is geweest of iemand een laptop met gevoelige gegevens in de trein is vergeten – vaak wordt dat breed uitgemeten in het nieuws. Zelfs als het niet duidelijk is of een bepaald plan in strijd is met de wet, kan er negatieve pers ontstaan als je handelswijze als onethisch of onwenselijk wordt beschouwd. Denk bijvoorbeeld aan de ING, die van plan was advertenties aan te bieden bij het online bankieren, gekoppeld aan je uitgavenpatroon. Dat heeft in korte tijd zeer veel schade gedaan.
  4. Organisatie-inrichting: Veel van de regels uit de Algemene Verordening Gegevensbescherming zijn eigenlijk geen plichten of inperkingen, maar handige handvatten om je te helpen beter en slimmer om te gaan met data. Het veilig opslaan van gegevens is bijvoorbeeld belangrijk omdat je niet wilt dat derde partijen toegang hebben tot kritische informatie over je operaties of bedrijfsgeheimen. Het zorgen dat data correct en up-to-date zijn, ook een plicht uit de AVG, zorgt dat de analyses die je doet op basis van die data kwalitatief hoogstaand zijn – uit onderzoek blijkt dat een investering in datakwaliteit zich vaak dubbel en dwars terugbetaalt. Het vereiste uit de AVG dat oude gegevens moeten worden verwijderd als je die niet meer nodig hebt, is belangrijk omdat het bewaren en opslaan van oude gegevens geld en opslagruimte kost en in wezen vooral een aansprakelijkheidsrisico vormt. De regels uit de Verordening kunnen dus helpen bij een efficiënte en doelmatige wijze van informatiemanagement.
  5. Sancties en boetes: Als dit allemaal iets te soft is, dan geeft de Verordening nog een aantal goede redenen om de regels te volgen. Burgers kunnen naar de handhavende organisatie of de rechter stappen als hun rechten zijn geschonden, burgerrechtenorganisaties kunnen hen daarbij helpen en de Autoriteit Persoonsgegevens kan maatregelen en uiteindelijk ook boetes opleggen. Boetes kunnen oplopen tot 20 miljoen euro per overtreding van de Algemene Verordening Gegevensbescherming.

De Algemene Verordening Gegevensbescherming in gewonemensentaal van Bart van der Sloot is verschenen bij Amsterdam University Press, ISBN: 9789462989290