Wat is de privacywet van de GDPR en waarom zou u erom geven?
De Algemene Verordening Gegevensbescherming (AVG) is een nieuwe wet van de Europese Unie die vandaag van kracht wordt en het is de reden waarom u non-stop e-mails en mededelingen over updates van het privacybeleid hebt ontvangen. Dus hoe beïnvloedt dit jou? Dit is wat je moet weten.
De nieuwe GDPR-wet treedt in werking vandaag, 25 mei 2018, en omvat gegevensbescherming en privacy voor EU-burgers, maar is ook op veel verschillende manieren op veel andere landen van toepassing, en aangezien alle technische giganten enorme multinationale ondernemingen zijn , het beïnvloedt veel van de dingen die je dagelijks gebruikt.
Het probleem dat GDPR probeert op te lossen: bedrijven verzamelen en misbruiken uw persoonlijke gegevens
Sinds het begin van het internet verzamelen bedrijven zoveel mogelijk gegevens voor iedereen die ze kunnen. Het is eenvoudig om die informatie te verzamelen, dus er is geen reden om ze niet te hamsteren.
Het probleem is dat in de afgelopen paar jaar veel bedrijven zijn betrapt op het niet-beschermen, of zelfs misbruiken, van uw persoonlijke gegevens. Het Cambridge Analytica-schandaal, waarbij een onderzoeker een Facebook-quiz gebruikte om enorme hoeveelheden gegevens te verzamelen over miljoenen Facebook-gebruikers en deze vervolgens aan een adviesbureau verkocht, is slechts het meest recente voorbeeld. De Equifax-hack van vorig jaar was bijzonder slecht omdat de gelekte informatie kon worden gebruikt om creditcards te openen. En dat zijn gewoon de grote schandalen. Veel bedrijven hebben uw gegevens op kleinere manieren misbruikt, zoals het verkopen aan externe advertentiebedrijven.
De EU heeft de situatie slecht bekeken en probeert de GDPR te corrigeren. Onder de nieuwe wetten worden bedrijven die consumentengegevens niet adequaat beschermen of misbruiken op welke manier dan ook geconfronteerd met hoge boetes.
Wat is beschouwd als persoonlijke gegevens?
De GDPR beschermt "persoonlijke gegevens", wat hier betekent "alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon" - en dat is een vrij ruime definitie. In werkelijkheid gaan persoonlijke gegevens over het algemeen dingen bevatten als:
- Biografische gegevens zoals uw naam, adres, telefoonnummer, sofinummer enzovoort.
- Gegevens over uw fysieke uiterlijk en gedrag, zoals haarkleur, ras en lengte.
- Informatie over uw onderwijs- en werkgeschiedenis, zoals uw salaris, universiteitsgraad, GPA, belastingnummer, enzovoort.
- Alle medische of genetische gegevens.
- Zaken als uw belgeschiedenis, privéberichten of geolocatiegegevens.
Dit is verre van een complete lijst. De sleutel is dat alle gegevens die u herkenbaar maken, meetellen. In bepaalde omstandigheden kan uw haarkleur voldoende zijn. In anderen zou zelfs je volledige naam - als het iets gemeenschappelijks is als Robert Smith - je misschien niet identificeerbaar maken.
Wat doet de GDPR?
De GDPR biedt ingezetenen van de EU die hun persoonlijke gegevens verzamelen, zogenaamde "betrokkenen", in de achtechtenrechten. Zij zijn:
- Het recht op informatie: Als een bedrijf gegevens verzamelt, moeten ze de betrokkenen laten weten wat er wordt verzameld, waarom het wordt verzameld, waarvoor het wordt gebruikt, hoe lang het wordt bewaard en of het met derden zal worden gedeeld. Deze informatie kan niet worden begraven in termen van service die niemand leest; het moet beknopt zijn en in duidelijke taal zijn.
- Het recht op toegang: Als zij daarom vragen, moet elke organisatie die persoonlijke gegevens met betrekking tot een gegevenssubject heeft, deze binnen een maand aan hen verstrekken.
- Het recht op rectificatie: Als een betrokkene te weten komt dat een bedrijf gegevens over hen heeft die niet correct zijn, kunnen zij verzoeken dat het wordt bijgewerkt. Bedrijven hebben een maand om te voldoen.
- Het recht om te wissen: Een betrokkene kan vragen dat een bedrijf gegevens die onder bepaalde omstandigheden worden bewaard, verwijdert. Bijvoorbeeld als de gegevens niet langer nodig zijn of als ze hun toestemming intrekken om deze te gebruiken.
- Het recht om de verwerking te beperken: Als een organisatie de gegevens van de betrokkenen niet kan verwijderen, bijvoorbeeld omdat ze het voor een rechtszaak nodig hebben, kunnen ze het bedrijf vragen om te beperken hoe het wordt gebruikt.
- Het recht op dataportabiliteit: Betrokkenen hebben het recht om hun persoonlijke gegevens van de ene dienst te gebruiken en deze te gebruiken met een andere.
- Het recht om bezwaar aan te tekenen: Als gegevens zonder toestemming worden verzameld, maar voor legitieme zakelijke belangen, voor het algemeen belang of door een officiële instantie, kan de betrokkene bezwaar maken. De organisatie moet dan stoppen met het verwerken van de gegevens totdat ze kunnen aantonen dat ze legitieme redenen hebben om dit te doen.
- Rechten met betrekking tot geautomatiseerde besluitvorming inclusief profilering: De AVG zorgt ervoor dat individuen bezwaar kunnen maken tegen of uitleg kunnen krijgen over geautomatiseerde beslissingen die van invloed zijn op hen en hun gegevens.
Een ander groot deel van de voorschriften is dat bedrijven een wettige reden moeten hebben om gegevens te verzamelen of te verwerken. Een van de wettige redenen is dat ze toestemming hebben gekregen om het voor een specifiek doel te gebruiken, maar er zijn anderen die het nodig hebben om te voldoen aan wettelijke verplichtingen of dat het verzamelen van informatie in het algemeen belang is.
Zoals u kunt zien, zijn de rechten die EU-ingezetenen volgens de wet krijgen, vrij breed en dwingen bedrijven die gegevens van hen verzamelen om echt na te denken over wat zij verzamelen en waarom. De oude tijd van gewoon alles verzamelen wat ze kunnen en hopen dat ze er later gebruik van zullen maken, zijn verdwenen - tenminste in Europa. Dit is de reden waarom vrijwel elke service die u ooit aan uw e-mailadres hebt gegeven, contact met u opneemt.
Veel bedrijven maken zich druk over het feit dat de sancties om niet GDPR-compliant te zijn behoorlijk streng zijn. Een organisatie kan een boete krijgen tot € 20 miljoen of 4% van hun wereldwijde jaaromzet (afhankelijk van wat het grootst is) volgens de wetten. Voor mensen als Amazon of Google komt dit neer op miljarden dollars aan potentiële boetes als ze de gegevens van EU-ingezetenen verkeerd behandelen.
Wat betekent de GDPR voor Amerikanen?
In dit artikel hebben we ons geconcentreerd op de rechten van GDPR voor inwoners van de EU om de eenvoudige reden dat het een EU-wet is. Het is eigenlijk niet van toepassing op Amerikaanse burgers, tenzij ze ook in de EU wonen. De reden dat u alle e-mails ontvangt, is dat de meeste bedrijven niet kunnen zeggen wie een EU-ingezetene is en wie niet.
Dit betekent echter niet dat de GDPR geen invloed op u heeft. Veel bedrijven hebben opnieuw onderzocht hoe zij met consumentengegevens omgaan en sommigen van hen zijn gaan praten over het uitrollen van de GDPR-rechten naar niet-EU-ingezetenen. En het is ook eenvoudiger voor bedrijven om in veel gevallen één set regels af te dwingen voor alle klanten.
Apple heeft bijvoorbeeld een nieuw privacyportaal gelanceerd, waar mensen al hun persoonlijke gegevens kunnen downloaden of hun account kunnen verwijderen, met andere woorden mensen toegang en wissen verlenen. Voorlopig kunnen alleen in de EU gebaseerde accounts deze gebruiken, maar Apple is van plan deze de komende maanden wereldwijd uit te rollen. Op dezelfde manier mompelt Facebook over het geven van dezelfde GDPR-bescherming aan sommige gebruikers buiten de EU.