Wat staat er in de nieuwe privacywetgeving van de EU?

Wat staat er in de nieuwe privacywetgeving van de EU?

Of we privacy belangrijk vinden? Over die vraag hoeven we niet lang na te denken. We gooien niet graag onze privé-informatie te grabbel. Maar gaan we als jeugdorganisaties wel goed om met de privacy van onze leden? Op 25 mei 2018 wordt de nieuwe privacywetgeving van de Europese Unie van kracht, die een betere richtlijn moet bieden voor organisaties die persoonsgegevens verzamelen. Een overzicht van de belangrijkste principes.

Waarom nieuwe privacywetten?

De huidige regelgeving rond privacy dateert van eind 1995. Over social media hadden we toen nog nooit gehoord en een “smartphone” klonk toen nog als iets buitenaards. Hoog tijd voor een nieuwe regeling dus.

Meer duidelijkheid voor internetgebruikers

De nieuwe wetgeving vereist dat je als internetgebruiker uitgebreid geïnformeerd wordt over:

  • welke informatie een organisatie over jou verzamelt
  • wat het met die informatie gaat doen
  • hoe lang die organisatie die gegevens van jou gaat bijhouden.

Dat alles moet in eenvoudige en begrijpelijke taal geformuleerd worden, niet in de kleine lettertjes dus. Als internetgebruiker moet je bovendien zelf expliciet de keuze kunnen maken om je gegevens al dan niet prijs te geven.

Zo mogen organisaties niet zonder jouw toestemming ‘cookies’ verzamelen om jouw gedrag op hun website bij te houden. Of ze mogen je e-mailadres of de vakantiefoto’s die je gedeeld hebt niet delen met andere bedrijven zonder dat jij jouw toestemming daarvoor gegeven hebt.

Eens je toestemming gegeven hebt om je gegevens te gebruiken, heb je als gebruiker ook enkele rechten waarop je een beroep kunt doen. Zo mag je onder andere:

  • opvragen welke gegevens een organisatie van jou heeft
  • je gegevens corrigeren
  • je gegevens overdragen naar een andere organisatie: wil je bijvoorbeeld van telecomoperator veranderen, dan is je oude operator verplicht om jouw gegevens op een begrijpbare manier door te geven.
  • je gegevens maar tijdelijk ter beschikking stellen. Organisaties moeten voor je je gegevens doorgeeft, vermelden hoe lang ze die willen bijhouden. Na die termijn moeten ze je gegevens wissen.
  • je gegevens laten wissen, een totale ‘delete’ dus.

gdpr

Strengere verplichtingen voor organisaties die gegevens verzamelen

Voor organisaties die data verzamelen zijn er vanaf mei 2018 strengere verplichtingen. Die verplichtingen gelden voor àlle organisaties die persoonsgegevens verzamelen, ook voor vzw’s. Dat wil dus zeggen dat je met jouw jeugdbeweging of sportclub ook moet voldoen aan de wetgeving.

De nieuwe wetgeving is onder andere hier van toepassing:

  • een maandelijkse newsletter uitstuurt naar al je leden
  • je evenement promoot op Facebook
  • Google Analytics cookies op je site hebt
  • E-mailadressen van potentiële nieuwe leden verzamelt

In al die gevallen ben je verplicht om je publiek goed in te lichten over je plannen met de gegevens die je verzamelt. Bovendien moet je voor gegevens van jongeren onder 16 jaar niet alleen toestemming hebben van de jongere zelf, maar ook van hun ouders. Communiceer je hier niet duidelijk over, dan riskeer je strenge boetes.

Wat als je de wet niet naleeft?

Wie zal dit nu allemaal controleren? In België zal de Privacycommissie nagaan of organisaties de nieuwe privacywet wel naleven. Dat doet ze nu al, want ook vandaag gelden de meeste van deze privacyregels al, maar met de nieuwe wetgeving zullen ze een krachtiger instrument hebben om organisaties die de wet overtreden te straffen. Er komt ook een vernieuwde ombudsdienst waarbij consumenten gemakkelijk een klacht gaan kunnen indienen.

Het probleem is dat de wet voor heel veel verschillende organisaties geldt, en dat ze daarom nog heel vaag is. De wet bevat de principes die organisaties moeten naleven, zoals ze hierboven opgesomd zijn, en de verplichting voor organisaties om ‘verantwoording’ te kunnen afleggen. Dat wil zeggen dat je bij controle moet kunnen voorleggen dat je inspanningen hebt gedaan om die principes na te leven. Hoe je dat doet, is tot nu toe niet in de wet vastgelegd. Of de nieuwe privacywetgeving dus echt slagkracht zal hebben om de privacy van EU-burgers beter te bewaken, valt dus nog af te wachten.