Op dit moment is de GDPR een van de, zo niet de meest invloedrijke en besproken privacywetgeving wereldwijd. Digitale privacy treedt steeds meer op de voorgrond in de bedrijfspraktijk. En dat werd tijd. Tien jaar nadat de Snowden-dossiers de aarde bereikten, staan we nog steeds aan het begin van de bescherming van onze privacy.
De laatste tijd nemen overheden een standpunt in, en neemt privacy-ngo noyb het op tegen de grote jongens(Facebook en Google), en alles lijkt uit te komen op de EU-privacy genaamd de GDPR. Dit artikel gaat dieper in op deze privacywet en behandelt enkele algemene en belangrijke vragen erover. Wat is de GDPR? Wanneer is ze van toepassing? Hoe wordt ze gehandhaafd?
- Wat is de GDPR?
- Is de GDPR rechtstreeks van toepassing?
- Wanneer is de GDPR van toepassing?
- Op wie is de GDPR van toepassing?
- Wie handhaaft de GDPR?
- Beschermt de GDPR de privacy?
- Wie heeft rechten onder de GDPR?
- Wat zijn de beginselen van de GDPR?
- Welke gegevens zijn persoonsgegevens onder de GDPR?
- Welke gegevens zijn gevoelige gegevens onder de GDPR?
- Welke gegevensrechten worden beschermd door de GDPR?
- Wat zijn de plichten onder de GDPR?
- Wat zijn de boetes onder de GDPR?
- Vereist de GDPR toestemming?
- Vereist de GDPR toestemming voor cookies?
- Hoe regelt de GDPR de doorgifte van gegevens?
- Is de GDPR de enige Europese privacywet?
- Hoe voldoe ik aan de GDPR?
- Conclusies
Dat zoeken we uit!
Wat is de GDPR?
De General Data Protection Regulation (GDPR) is een verordening van de Europese Unie (Verordening (EU) 2016/679). Het is de belangrijkste Europese privacyverordening en de kern van het Europese kader voor gegevensbescherming. De verordening werd in 2016 goedgekeurd en trad in 2018 in werking.
De GDPR wil de gegevensrechten van individuen beschermen en tegelijkertijd het vrije verkeer van gegevens aanmoedigen. Deze doelen zijn niet gemakkelijk in evenwicht te brengen en daarom is de GDPR een lange en complexe wetgeving met veel principes, regels en vrijstellingen. Maar in een notendop gaat de GDPR over wat wel en niet mag worden gedaan met persoonsgegevens.
Is de GDPR rechtstreeks van toepassing?
Ja, want het is een verordening. In het Europees recht staan verordeningen tegenover richtlijnen omdat ze niet hoeven te worden uitgevoerd. Richtlijnen daarentegen zijn niet rechtstreeks van toepassing en moeten door de lidstaten via nationale wetgeving ten uitvoer worden gelegd.
De GDPR had een voorganger in de gegevensbeschermingsrichtlijn. De GDPR erft veel regels van de richtlijn, maar legt een sterkere basis voor privacyrechten in alle lidstaten omdat het een verordening is.
Wanneer is de GDPR van toepassing?
De GDPR is van toepassing op alle lidstaten van de Europese Unie en de Europese Economische Ruimte (in feite de EU-lidstaten en IJsland, Liechtenstein en Noorwegen).
De GDPR heeft ook een extraterritoriale werking omdat ze soms van toepassing is op bedrijven en andere entiteiten buiten de EU/EER. De regels inzake het territoriale toepassingsgebied van de GDPR zijn te complex om in een paar woorden samen te vatten, maar om het grofweg te vereenvoudigen, kunnen we zeggen dat de GDPR van toepassing is op elk bedrijf of elke dienst die gericht is op een Europese markt of een Europees publiek. U kunt gdprhub.eu raadplegen voor een meer gedetailleerde en nauwkeurige uitleg.
Ook moet worden opgemerkt dat de GDPR alleen van toepassing is op persoonsgegevens.
Op wie is de GDPR van toepassing?
De GDPR is van toepassing op voor de verwerking verantwoordelijken en gegevensverwerkers.
De voor de verwerking verantwoordelijke is de entiteit die de gegevensverwerking "controleert", omdat hij beslist over de middelen en doeleinden van de verwerking. De gegevensverwerker daarentegen is de entiteit die gegevens namens iemand anders verwerkt en diens instructies opvolgt. Dus als een bedrijf een clouddienst gebruikt om de persoonsgegevens van werknemers op te slaan, is het bedrijf een voor de verwerking verantwoordelijke, en de cloudprovider een gegevensverwerker (terwijl de werknemers de betrokkenen zijn).
Andere scenario's zijn mogelijk. Als er twee of meer verwerkingsverantwoordelijken zijn voor één verwerking, zijn zij gezamenlijke verwerkingsverantwoordelijken. En als een verwerker voor een andere verwerker werkt, is hij een subverwerker.
Het onderscheid tussen voor de verwerking verantwoordelijke en verwerker is belangrijk omdat zij verschillende verplichtingen hebben onder de GDPR. Het is ook lastig: sommige gevallen zijn duidelijk, maar andere zijn ingewikkelder.
Wie handhaaft de GDPR?
Zowel rechtbanken als gegevensbeschermingsautoriteiten zien toe op de naleving van de GDPR.
Elke EU- en EER-lidstaat heeft een gegevensbeschermingsautoriteit (DPA), en sommige hebben er meer dan één, zoals Duitsland. DPA's zijn administratieve autoriteiten die op grond van de nationale wetgeving de GDPR en de privacywetgeving handhaven. Alle DPA's maken deel uit van het Europees Comité voor gegevensbescherming, een EU-instelling die de handhaving van de GDPR coördineert.
Het is ook mogelijk om de GDPR te handhaven via het rechtssysteem van de lidstaten. Als uw rechten op grond van de GDPR worden geschonden, kunt u dus naar de rechter stappen en schadevergoeding eisen of een klacht indienen bij uw nationale gegevensbeschermingsautoriteit.
Er zijn belangrijke verschillen tussen deze twee handhavingsroutes. DPA's zijn bijvoorbeeld niet bevoegd om schadevergoeding toe te kennen en civiele rechtbanken zijn niet bevoegd om boetes op te leggen. Rechtbanken en gegevensbeschermingsautoriteiten spelen dus een verschillende rol bij de handhaving.
Beroepsprocedures werken verschillend voor rechtbanken en gegevensbeschermingsautoriteiten, maar in beide scenario's kan een zaak bij het Hof van Justitie van de EU belanden. Het Hof van Justitie heeft in wezen het laatste woord over de interpretatie van de GDPR. Daarom verwijzen DPA's, gegevensadvocaten en andere rechtbanken vaak naar de jurisprudentie van het Hof bij de interpretatie van de GDPR. Als u onze blog volgt, bent u waarschijnlijk de tel kwijtgeraakt van de keren dat we het Schrems II-arrest hebben genoemd - dat hebben we zeker!
Beschermt de GDPR de privacy?
Een beetje wel. Om precies te zijn beschermt ze het recht op gegevensbescherming. Privacy en gegevensbescherming worden vaak als synoniemen gebruikt. Wij doen dat soms ook, omwille van de leesbaarheid. Maar het Europees Handvest van de grondrechten erkent ze als verschillende mensenrechten, dus de twee zijn niet precies hetzelfde onder het EU-recht.
Het onderscheid tussen privacy en gegevensbescherming kan aanvankelijk vreemd lijken, maar vanuit praktisch oogpunt is het zinvol. Om uw rechten onder de GDPR uit te oefenen, hoeft u niet te bewijzen dat bepaalde intieme informatie is onthuld of dat uw privésfeer op een andere manier is aangetast. Als iemand jouw persoonsgegevens verwerkt, heb je gewoon rechten onder de GDPR. Het onderscheid tussen privacy en gegevensbescherming maakt het dus makkelijker om je rechten uit te oefenen, en daar gaat het echt om.
Wie heeft rechten onder de GDPR?
Iedereen in Europa heeft rechten onder de GDPR, ongeacht zijn woonplaats of nationaliteit. Dit betekent dat EU- en niet-EU-burgers precies dezelfde rechten hebben onder de GDPR zolang ze in de EU/EER zijn. Anderzijds geniet een EU-burger geen gegevensrechten onder de GDPR wanneer hij zich buiten de Unie/EER bevindt.
Bovendien heeft elke persoon rechten onder de GDPR, waar hij zich ook bevindt, zolang zijn gegevens in Europa worden verwerkt. Een Frans bedrijf dat uitsluitend gegevens van Japanse ingezetenen verwerkt, is bijvoorbeeld nog steeds gebonden aan de GDPR.
Wat zijn de beginselen van de GDPR?
De meeste beginselen van de GDPR zijn te vinden in artikel 5:
- gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt (beginselen van rechtmatigheid, eerlijkheid en transparantie)
- gegevens moeten worden verzameld voor een specifiek doel en moeten geschikt zijn voor dat doel (doelbinding)
- gegevens moeten adequaat, relevant en beperkt zijn tot wat nodig is in verband met de doeleinden waarvoor ze worden verwerkt (dataminimalisatie - we schreven hierover)
- gegevens moeten nauwkeurig zijn en worden bijgewerkt (nauwkeurigheid)
- gegevens moeten worden gewist of geanonimiseerd zodra ze niet meer nodig zijn (opslagbeperking)
- gegevens moeten op een veilige en vertrouwelijke manier worden verwerkt om inbreuken op de gegevens te voorkomen (integriteit en vertrouwelijkheid)
- als u persoonsgegevens verwerkt, bent u verantwoordelijk voor het aantonen van de naleving van al deze beginselen (verantwoordingsplicht).
Welke gegevens zijn persoonsgegevens onder de GDPR?
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (een betrokkene in de GDPR).
In juridisch jargon is een natuurlijke persoon een persoon in de gewone zin van het woord. Personen hebben dus rechten onder de GDPR, terwijl publieke en private organisaties dat niet hebben. Overledenen hebben ook geen rechten onder de GDPR.
Gegevens hoeven niet privacy-schendend te zijn om bescherming te krijgen - ze hoeven alleen maar betrekking te hebben op iemand. Het zou niet het einde van de wereld zijn als je te weten komt dat ik vanmorgen koffie heb gedronken, maar deze informatie is nog steeds een persoonsgegeven omdat mijn naam bovenaan deze blog staat.
De definitie van persoonsgegevens lijkt eenvoudig genoeg, maar is dat niet. "Identificeerbaar" is het glibberige gedeelte. Volgens de GDPR is een betrokkene identificeerbaar wanneer hij kan worden geïdentificeerd - dat wil zeggen wanneer gegevens individueel naar hem kunnen worden verwezen. Het is niet nodig dat de gegevens de identiteit van de betrokkene onthullen om als persoonsgegevens te gelden.
Sommige cookies bevatten bijvoorbeeld unieke identificatoren, die willekeurig gegenereerde reeksen letters en cijfers zijn. Deze strings bevatten geen informatie over de identiteit van de betrokkene, maar hun unieke karakter maakt ze tot persoonsgegevens onder de GDPR omdat elke string naar één gebruiker verwijst.
De definitie van persoonsgegevens heeft nog andere belangrijke gevolgen. Bepaalde gegevens kunnen een persoon niet onafhankelijk identificeren, maar wel in combinatie met andere gegevens (denk aan de manier waarop sommige websites vingerafdrukken nemen van gebruikers op basis van apparaatgegevens). Dit kan de gegevens persoonlijk maken volgens de GDPR. Bij geanonimiseerde en geaggregeerde gegevens doen zich soortgelijke problemen met heridentificatie voor.
Kortom, het begrip persoonsgegevens is een groot probleem. We kunnen hier niet dieper op ingaan, maar als u nieuwsgierig bent, biedt de gdprhub enkele waardevolle commentaren op het onderwerp.
Welke gegevens zijn gevoelige gegevens onder de GDPR?
Gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens over iemands seksleven of seksuele geaardheid blijken, worden door de GDPR allemaal als gevoelige gegevens behandeld.
De GDPR bevat specifieke en strengere regels voor de verwerking van gevoelige gegevens.
Welke gegevensrechten worden beschermd door de GDPR?
Dat zijn er nogal wat. De meeste zijn bedoeld om mensen enige controle over hun gegevens te geven. Zo kun je bijvoorbeeld vragen om je gegevens te wissen of te corrigeren, kun je toegang vragen tot je gegevens en heb je het recht om wat basisinformatie over de verwerking van je gegevens te ontvangen. In sommige situaties kunt u ook bezwaar maken tegen de verwerking van uw gegevens of uw toestemming voor de verwerking intrekken.
Wat zijn de plichten onder de GDPR?
Elk recht van de betrokkene brengt een plicht van de verwerkingsverantwoordelijke met zich mee. Dus wanneer u uw recht uitoefent om uw gegevens te laten wissen, heeft de verwerkingsverantwoordelijke de plicht om ze te wissen, enzovoort.
De voor de verwerking verantwoordelijken hebben ook plichten zonder directe tegenhanger onder de rechten van de betrokkene. Zo moeten voor de verwerking verantwoordelijken persoonsgegevens rechtmatig verwerken, ze niet langer bewaren dan nodig is, ze veilig verwerken en datalekken melden aan de gegevensbeschermingsautoriteiten. Dit zijn allemaal algemene verplichtingen onder de GDPR, en de voor de verwerking verantwoordelijken moeten ze nakomen, zelfs als de betrokkenen dat niet eisen.
Voor de verwerking verantwoordelijken moeten ook kunnen aantonen dat zij de GDPR naleven. Dit staat bekend als het verantwoordingsbeginsel.
Gegevensverwerkers hebben ook plichten, maar de meeste zijn anders dan die van een verwerkingsverantwoordelijke. Dit is logisch omdat ze instructies volgen en niet zoveel beslissingsbevoegdheid hebben als de verwerkingsverantwoordelijke van de gegevens.
Wat zijn de boetes onder de GDPR?
De GDPR heeft een reputatie voor enge boetes. Sancties zijn beperkt tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van wat het hoogst is. De huidige recordhouder is Amazon, met een boete van 746 miljoen euro, en onlangs bespraken we twee boetes tegen Meta voor in totaal 390 miljoen euro.
Naleving kan duur zijn, maar de boetes worden per geval bepaald. Kleine bedrijven die een eerlijke fout hebben gemaakt en grote bedrijven die het systeem proberen te misbruiken, worden verschillend behandeld. En de gegevensbeschermingsautoriteiten proberen doorgaans met bedrijven naar naleving toe te werken in plaats van links en rechts hoge boetes op te leggen. Ze staan positief tegenover bedrijven die meewerken aan de onderzoeken en stappen ondernemen om nalevingsproblemen aan te pakken, zelfs als ze dat pas doen nadat er een klacht is ingediend.
Vereist de GDPR toestemming?
Nee, de GDPR vereist geen toestemming. Niet altijd, tenminste.
We schreven al een blog over toestemming, dus hier volgt een beknopte uitleg: onder de GDPR kunnen gegevens alleen met een reden worden verwerkt. Elke gegevensverwerking heeft een rechtsgrondslag nodig - in wezen een rechtvaardiging. Toestemming is een van deze rechtvaardigingen. De GDPR bevat er nog vijf, zoals gerechtvaardigd belang of een wettelijke verplichting.
Het meest correcte antwoord op de vraag is dus dat het ervan afhangt. Het idee dat de GDPR altijd toestemming vereist, is onjuist. Maar je hebt altijd een wettelijke basis nodig voor het verwerken van gegevens. Dat kan toestemming zijn of iets anders (zoals een wettelijke verplichting of de uitvoering van een contract). En er zijn inderdaad gevallen waarin toestemming de enige optie is omdat er geen andere rechtsgrondslag van toepassing is op het specifieke scenario, maar dat is geen algemene regel.
Vereist de GDPR toestemming voor cookies?
Dat hangt ervan af. Voor noodzakelijke cookies, zoals beveiligingscookies, is geen toestemming nodig. Voor niet-noodzakelijke cookies, zoals analytische en marketingcookies, is daarentegen altijd toestemming nodig. Daarom zie je bij het surfen zoveel cookiebanners.
Dit komt niet door de GDPR. Cookies vallen onder de ePrivacy-richtlijn, en de richtlijn vereist toestemming voor cookies. Terzijde: de richtlijn heeft ook betrekking op technologieën die vergelijkbaar zijn met cookies, zoals reclametrackers op apparaten (we hebben onlangs een interessante zaak hierover behandeld).
Hoe regelt de GDPR de doorgifte van gegevens?
In principe moeten gegevens veilig buiten Europa worden doorgegeven. Om dit te garanderen, bevat de verordening een complex systeem van regels voor gegevensoverdrachten. We hebben dit onderwerp uitgebreid besproken, maar in een notendop komt het erop neer dat wanneer u gegevens doorgeeft aan een derde land, u een beroep moet doen op een van de verschillende nalevingsmechanismen die de GDPR opsomt en die allemaal bedoeld zijn als waarborgen voor de gegevens.
Sinds 2020 maakt het Schrems II-arrest van het Hof van Justitie van de EU het moeilijk om te voldoen aan de regels voor gegevensoverdracht bij het verzenden van gegevens naar de VS. Schrems II is een beruchte en veelbesproken zaak. De uitspraak is de kern van de problemen van Google Analytics met gegevensoverdracht en is de reden waarom Google Analytics praktisch werd verboden in Oostenrijk, Frankrijk, Italië, Denemarken en Finland (evenals in Noorwegen, hoewel de uitspraak slechts voorlopig is en de zaak nog in behandeling is).
Maar de kwestie is groter dan alleen Google Analytics en kan in de toekomst ook andere dienstverleners betreffen. Daarom heeft de EU-Commissie een nieuw besluit inzake adequaatheid opgesteld. Het ontwerp moet nog worden goedgekeurd en zal waarschijnlijk worden aangevochten bij het Hof van Justitie.
Is de GDPR de enige Europese privacywet?
Nee. De GDPR is cruciaal voor de EU-privacywetgeving, maar er zijn ook andere belangrijke bronnen.
Een daarvan hebben we al genoemd: de ePrivacy-richtlijn. De richtlijn heeft vooral betrekking op de aanbieders van communicatiediensten, zoals telecombedrijven en internetproviders (maar de door ons genoemde cookieregels hebben een ruimer toepassingsgebied). Een ePrivacy-verordening is in de maak en moet de richtlijn vervangen, zoals de GDPR de oude gegevensbeschermingsrichtlijn heeft vervangen.
De rechtshandhavingsrichtlijn is een ander stukje van de puzzel. Deze richtlijn heeft betrekking op strafrechtelijk onderzoek en strafrechtspleging en is parallel aan de GDPR opgesteld en goedgekeurd. Het onderwerp van de richtlijn valt buiten het toepassingsgebied van de GDPR, dus de twee bronnen vullen elkaar aan.
Andere bronnen van EU-recht zijn geen privacywetten, maar hebben wel gevolgen voor de privacyrechten. De recente Wet digitale markten en de Wet digitale diensten zijn twee opmerkelijke voorbeelden.
Op een hoger niveau beschermt het Handvest van de grondrechten van de Europese Unie het recht op privacy en gegevensbescherming. Het Handvest heeft dezelfde juridische status als de Verdragen tot oprichting van de Unie: het is een van de hoogste bronnen van EU-recht en "overtroeft" richtlijnen en verordeningen.
Ook het Europees Verdrag tot bescherming van de rechten van de mens erkent privacy als een grondrecht. Het Verdrag maakt technisch gezien geen deel uit van het rechtskader van de EU, maar heeft niettemin invloed op het EU-recht. Hetzelfde geldt voor de jurisprudentie van het Europees Hof voor de rechten van de mens - een Hof dat het Verdrag handhaaft en geen instelling van de EU is.
Hoe voldoe ik aan de GDPR?
Er is geen pasklaar antwoord. Er is ook geen uitgebreide checklist. Elke nalevingsstrategie moet worden afgestemd op een specifiek scenario en rekening houden met de soorten gegevens, de doeleinden waarvoor ze worden verwerkt, de omvang van de gegevensverwerking, enzovoort. Een goede compliance-strategie moet ook alle belanghebbenden binnen een organisatie betrekken en vereist een goed begrip van de manier waarop gegevens worden verwerkt, wat niet triviaal is(ja, Meta, ik kijk naar jou).
Dat gezegd hebbende, artikel 5 GDPR vat de meeste principes achter de GDPR samen, dus je zou het als uitgangspunt kunnen gebruiken om jezelf de juiste vragen te stellen. Bijvoorbeeld:
- welke rechtsgrondslag heb ik om persoonsgegevens te verwerken?
- Verstrek ik voldoende informatie aan de betrokkenen? Begrijpen zij wat ik met hun gegevens doe en waarom ik dat doe, althans in zeer algemene zin?
- Verzamel en verwerk ik gegevens met een duidelijk en specifiek doel voor ogen?
- heb ik al deze gegevens echt nodig? Zijn er gegevens die ik zou kunnen wissen en anonimiseren? Bewaar ik gegevens langer dan nodig is?
- Kan ik iets doen om het risico van een datalek te beperken? Kan ik de technische beveiliging van mijn systemen verbeteren? Kan mijn personeel toegang krijgen tot persoonlijke gegevens die ze niet echt nodig hebben?
Dit zijn geen gemakkelijke vragen, maar ze in gedachten houden is een goede eerste stap, zelfs als u nog niet alle antwoorden hebt.
Zorg er verder voor dat u toestemming op de juiste manier gebruikt. Toestemming wordt soms gezien als een zilveren kogel voor naleving, maar er zijn grenzen aan wat u met toestemming kunt doen en scenario's waarin vertrouwen op toestemming niet werkt. Onze blog kan u een algemeen overzicht geven van hoe toestemming werkt onder de GDPR.
Gebruikt u ten slotte Google Analytics, dan is de overstap naar een andere dienst voor webanalyse een stap in de richting van compliance. Natuurlijk komt er meer kijken bij compliance, maar het dumpen van Google Analytics is voor veel bedrijven het laaghangende fruit.
Conclusies
Wij zijn gepassioneerd door privacy. Daarom doen we ons best om privacynieuws te verslaan en privacywetgeving op een accurate en toegankelijke manier te bespreken. Wij geloven dat privacywetgeving ons allen aangaat en niet het domein zou moeten zijn van advocaten en sprekers van juridische termen.
Wij geloven ook dat het internet een betere, privacyvriendelijkere plaats kan zijn. Daarom hebben we Simple Analytics gebouwd. We zijn er trots op dat we onze klanten alle inzichten kunnen bieden die ze nodig hebben, zonder gebruikers te volgen en zonder persoonlijke gegevens te verzamelen. Als dit u goed in de oren klinkt, probeer ons dan gerust uit!