Nieuwe wet gegevensbescherming: zoveel verandert er niet
Over iets meer dan een maand gaat de wet ‘algemene verordening gegevensbescherming’ (AVG) in. Bart van der Sloot, universitair hoofddocent aan Tilbug University Law School, merkt dat er veel misverstanden bestaan over de wet. Daarom schreef hij het boek ‘Algemene verordening gegevensbescherming in gewone taal’.
In het verleden gaf Van der Sloot al regelmatig lezingen en workshops over privacy en gegevensverwerking. Toen merkte hij al dat er spookverhalen en geruchten rondgingen over de AVG, die op 25 mei van kracht gaat. Tijd om die te ontkrachten met een boek dat iedereen kan begrijpen, dacht Van der Sloot.
Een hardnekkig gerucht: organisaties hebben voortdurend toestemming van hun klanten nodig hebben om hun gegevens te verzamelen. Van der Sloot: “Eén persoon dacht zelfs dat scholen toestemming van ouders moesten hebben om een kind op de foto te zetten, dat is dus complete onzin. Anderen waren juist bang dat na 25 mei de overheid aan de lopende band organisaties op de bon zou gaan slingeren.”
Enorme hoeveelheid data
De meest ingrijpende verandering is dat met de AVG bedrijven een documentatieplicht krijgen, waarmee ze zelf de verantwoordelijkheid krijgen om de gegevens te beschermen. “Zoveel gaat er niet veranderen. De wet is gebaseerd op dezelfde richtlijnen als de huidige wet, die al sinds 1995 van kracht is. Bijvoorbeeld dat gegevens niet onnodig moeten worden bewaard en op verzoek van mensen worden vernietigd.” In 1995, toen het internet nog maar net openbaar was, waren er maar een paar grote organisaties die gegevens verzamelden. De overheid controleerde deze firma’s. Dat is ook de reden dat de nieuwe wet tot stand kwam.
Anno 2018 zijn er zoveel bedrijven die zo’n gigantische hoeveelheid data verzamelen, dat de overheid het niet allemaal bij kan houden. Dus krijgen bedrijven een documentatieplicht en moeten ze een ‘impact assessment’ opstellen waarin ze beschrijven welke gegevens zij precies verzamelen en wat voor impact de datasets kunnen hebben.
Voor kleine bedrijven of startups zal er niet zoveel veranderen, zij zullen geen nieuw personeel aan hoeven te nemen om hun data te monitoren en te beschermen. Alleen bedrijven met meer dan 250 medewerkers zullen maatregelen moeten treffen.
Drie tips
Van der Sloot heeft drie tips voor bedrijven:
- Denk als bedrijf goed na wat voor gegevens je wilt verzamelen en of deze gegevens echt nodig zijn.
- Leg binnen je bedrijf goed vast welke gegevens je verzamelt, om je juridisch in te dekken.
- Ben transparant naar je klanten of gebruikers over wat je aan gegevens verzamelt. Zorg dat het duidelijk op je website staat.