Je kunt de krant niet openslaan of een actualiteitenrubriek op de televisie bekijken of de nieuwe Europese wetgeving over de Algemene Verordening Gegevensbescherming (AVG) komt langs. Dat deze nieuwe wet, die per 25 mei zijn beslag gaat krijgen, bij velen met vraagtekens wordt omhuld, is duidelijk.

Carolien Brederije en Natasja Niewoldt van Valegis Advocaten en Perry Telle van Hoornwijck Groep nemen ons naar de nieuwe AVG-wetgeving en scheiden daarbij de fabels van de feiten.

,,Eigenlijk was er al sinds 1995 Europese wetgeving aangaande de ‘Wet bescherming persoonsgegevens (WBP)’’, vertelt Natasja Niewoldt van Valegis Advocaten. ,,Men heeft toen geen rekening gehouden met de digitalisering die er nu is. Er komt nu een verordening in alle Europese lidstaten waaraan ondernemers zich dienen te houden. In de kern is de wetgeving hetzelfde, alleen kunnen er nu sancties tot een maximum van 20 miljoen euro worden opgelegd en zijn er ondernemers die nu de noodzaak inzien dat men zich aan deze nieuwe wetgeving dient te houden. Zij moeten nu kunnen aantonen dat zij zorgvuldig omgaan met de privacy van werknemers en cliënten. Men is verplicht om een verwerkingsregister te hebben en ook moet men proberen om zo min mogelijk persoonsgegevens te bewaren.”

Angst
Perry Telle vult aan: ,,Bijna altijd heb je te maken met de AVG. Een mailadres is bijvoorbeeld al een persoonsgegeven. Dan is de vraag hoe veilig je communiceert met het versturen van mails. Zeker voor bedrijven waar salaris- en belastinggegevens worden gebruikt, is het belangrijk dat men weet wat men doet. Je moet een datalek melden bij de Autoriteit Persoonsgegevens (AP). Doe je dat niet, dan riskeer je een behoorlijke boete. Bovendien moet je alle betrokkenen informeren over het lek. Op 25 mei 2016 is deze AVG ingevoerd. In de Europese wetgeving is het zo dat de lidstaten dan twee jaar hebben om deze te implementeren waarna autoriteiten kunnen overgaan tot sancties. Het is zo dat nu de angst overheerst. Je hoeft niet bang te zijn om een maillijst te bewaren voor het versturen van kerstkaarten. Je komt, om een voorbeeld te geven, wel op een hellend vlak wanneer een hockeyvereniging een mail stuurt naar haar leden en daarbij alle mailadressen vermeldt. Het opleggen van boetes zal de eerste jaren waarschijnlijk nog niet veelvuldig worden gedaan. Het geven van advies zal in de meeste gevallen volstaan. Maar de bakker kan niet rustig achterover leunen, want ook hij of zij komt een keer aan de beurt.”

Grote button
,,Klachten over het schenden van je privacy zijn nu ook makkelijker te melden”, vertelt Niewoldt. ,,Op de website van de Autoriteit Persoonsgegevens staat een grote button waar je je klacht kwijt kunt. Dan hangt het van de overtreding af of men gaat handhaven. Het zal de AP veelal te doen zijn om grote bedrijven te controleren. Maar ook bedrijven als webshops of kleine zorgaanbieders kunnen gecontroleerd gaan worden. De bakker op de hoek hoeft zich nog geen zorgen te maken. Maar kan ook niet rustig achterover leunen, want ook hij of zij komt een keer aan de beurt.”

,,Let wel”, benadrukt Telle. ,,Het verzamelen van persoonsgegevens mag nog steeds. Je bent alleen verplicht om ze goed te beschermen. En je moet kunnen aantonen dat het verzamelen van deze gegevens een bepaald doel dient. Bedrijven moeten zich bewust zijn wat het versturen van gegevens per mail precies inhoudt en wat voor gevolgen het kan hebben voor de privacy van de ontvanger. Bedrijven als Facebook, Google, maar ook hier in ons land bedrijven als de Belastingdienst, de ING en de Kamer van Koophandel zijn of worden op de vingers getikt. Als je als ondernemer een sollicitant afwijst, hoe lang mag je dan zijn of haar gegevens bewaren? Mag een uitzendbureau deze gegevens wel langer bewaren? Ben je verplicht om aan clean desk policy te doen om te voorkomen dat interieurverzorgers persoonsgegevens op bureaus kunnen zien liggen? Ben je als administratiekantoor gegevensverantwoordelijk of ben je slechts een gegevensverwerker? Ook is alles nog steeds niet voor de volle honderd procent duidelijk.”