Twinkle | Digital Commerce

Europese privacyverordening: de stand van zaken

2017-11-11
180101
  • 4:31

In Brussel wordt gesleuteld* aan een Algemene Verordening Gegevensbescherming, die een bestaande Europese richtlijn uit 1995 en daarmee de Wet bescherming persoonsgegevens vervangt. De betrokken instituties zijn dicht bij een eindbesluit hierover. Wat gaat er straks veranderen voor webwinkels en wanneer? Welke eieren moeten nog worden gelegd? Een update.

Tekst: Arjan van Oosterhout / Beeld: Twinkle/BBP Media

Het Europees Parlement ging in maart 2014 akkoord met het voorstel van de Europese Commissie om te komen tot een Algemene Verordening Gegevensbescherming, ook wel de Europese privacyverordening genoemd. Uniforme regels moeten ertoe leiden dat de privacy van burgers in de hele Unie hetzelfde wordt beschermd.

Behalve consumenten weten ook bedrijven straks beter waar ze aan toe zijn: ‘Nu is een nadeel nog dat je het als ondernemer hier misschien wel goed doet, maar in Spanje niet’, zegt juridisch adviseur Lisette Meij van ICTRecht. ‘Het ene EU-land is strenger dan het andere als het aankomt op persoonsgegevens.’

Anders dan een richtlijn hoeft een verordening niet in nationale wetgeving te worden verankerd om in werking te treden. Ze geldt direct in alle lidstaten van de Europese Unie, twee jaar na de definitieve vaststelling: ‘Stel dat de instituties er voor 1 januari aanstaande uit zijn, dan zullen de regels pas in januari 2018 in werking treden. Maar dat er voor eind dit jaar uitsluitsel komt is niet zeker’, zegt jurist Leon Mölenberg, senior beleidsadviseur bij Thuiswinkel.org. De belangenvereniging, vertegenwoordigd in koepelorganisatie Ecommerce Europe, is voor de uniformering van privacyregels, die een gelijker speelveld creëren voor ondernemers, vertrouwen van webshoppers kunnen bevorderen en zo cross border shopping aanjagen.

Wat er verandert
Het duurt dus nog een paar jaar voor er nieuwe privacyregels van kracht worden en op het moment van schrijven wordt er nog altijd aan gesleuteld. Toch zijn de contouren wel zichtbaar. Voor het verzamelen en opslaan van persoonsgegevens (zonder andere wettelijk toegestane bewerkingsgrond) volstaat stilzwijgende toestemming niet in de verordening. Om van toestemming te kunnen spreken is er straks op zijn minst een ‘actieve handeling of verklaring’ van de gebruiker nodig. Mölenberg: ‘Van deze ondubbelzinnige toestemming is sprake als je doorsurft nadat je voldoende bent geïnformeerd over de consequenties, zoals bij cookies. Onduidelijk is nog wanneer straks uitdrukkelijke toestemming vereist is, bijvoorbeeld via een checkbox. Wij zien graag dat die expliciete eis beperkt blijft tot de echt gevoelige persoonsgegevens. Elk vinkje dat webshoppers meer moeten zetten heeft invloed op de conversie.’

Meij van ICTRecht vult aan: ‘Belangrijk is dat webshops straks apart toestemming moeten vragen voor dataverwerking voor specifieke doeleinden. Als de gebruiker één vinkje heeft gezet, is dat dus niet genoeg om hem én nieuwsbrieven te gaan sturen, én gepersonaliseerde advertenties uit te serveren én zijn gegevens te delen met derde partijen. De gebruiker moet daar apart voor akkoord gaan.’

Nu al hebben consumenten een verwijderingsrecht, dat wil zeggen dat ze op hun verzoek uit de databases van bedrijven geschrapt moeten worden. Meij: ‘De verordening benadrukt dat bedrijven er ook voor moeten zorgen dat gegevens worden verwijderd uit de databases van derde partijen. Deze zogenoemde bewerkers zijn de afgelopen twintig jaar een rol van betekenis gaan spelen. Daar zal ook op gehandhaafd gaan worden.’

Met de inwerkingtreding van de verordening worden grotere organisaties straks verplicht een dataregister bij te houden, dat door toezichthouders als controlemiddel kan worden gebruikt. Meij: ‘Het is nog onduidelijk voor welke bedrijven dit precies gaat gelden. Vooralsnog gaat het om organisaties vanaf 250 medewerkers. ‘In de verordening staat ook dat bepaalde organisaties over een privacy officer moeten beschikken, die onafhankelijk moet kunnen functioneren als de privacyvraagbaak van een organisatie.’

Tot slot is in de Europese privacyverordening een meldplicht datalekken opgenomen, die op nationaal niveau een voorloper kent (zie kader).

Invloed aanwenden
Thuiswinkel.org en Ecommerce Europe zijn zoals gezegd te spreken over de aanstaande standaardisatie. Zolang de definitieve verordening er niet ligt, proberen zij hun invloed aan te wenden om de belangen van online ondernemers te dienen. Mölenberg: ‘We zijn blij dat pas van persoonsgegevens wordt gesproken als gegevens herleidbaar zijn tot een identificeerbare natuurlijke persoon. De manier van toestemming vragen heeft nog wel onze aandacht. De data driven economy is niet gediend bij strengere privacyregels. Dat geluid laat mevrouw Merkel nu ook horen.’

Profiling
Mölenberg is verheugd over de ruimte die de Europese verordening gaat bieden voor profiling. Zolang er alleen gebruik wordt gemaakt van zogenoemde pseudonieme data en er sprake is van een gerechtvaardigd (ondernemers)belang, geldt een milder privacyregime. Meij: ‘Je hoeft voor geaggregeerd datagebruik bijvoorbeeld niet te voldoen aan het inzage-, correctie en verwijderingsrecht, zolang gegevens niet tot de persoon herleidbaar zijn.’ Bedrijven die aan profiling doen, moeten dat wel opnemen in hun privacyverklaring. Ook moeten mensen zich ertegen kunnen verzetten.

Meij begrijpt dat veel online retailers wachten met privacymaatregelen tot de verordening in Brussel definitief wordt. ‘Maar ik raad aan om aanpassingen te gaan doen zodra een en ander duidelijk is. Twee jaar zijn snel voorbij. En boetes kunnen dan zomaar vallen.’

--------------------------------------------------
Meldplicht datalekken en nieuwe boetes
Vooruitlopend op de Europese meldplicht datalekken treedt een nationale meldplicht datalekken in werking. Al vanaf 1 januari 2016 is het wettelijk verplicht om een ‘ernstig’ datalek te melden bij het College bescherming persoonsgegevens. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig), zoals inloggegevens of financiële gegevens. In voorkomende gevallen moeten behalve de toezichthouder ook getroffen individuen worden geïnformeerd, bijvoorbeeld als de lekkage kan leiden tot identiteitsfraude, discriminatie of reputatieschade. Omdat ook het boeteartikel in de Wet bescherming persoonsgegevens per 1 januari wordt aangepast, kunnen overtreders van de meldplicht datalekken tot 810.00 euro boete opgelegd krijgen. Als de Algemene Verordening Gegevensbescherming in werking treedt, vervangen de Europese regels de nationale.
--------------------------------------------------

* Deze week hebben het Europees Parlement, de Europese Commissie en de lidstaten een voorlopige overeenstemming bereikt over een privacyverordening. Meer informatie leest u hier.

Dit artikel verscheen eerder in Twinkle 10-2015.