Wat de AVG in de praktijk voor jouw data betekent

Drie jaar geleden trad de AVG in werking. Deze Europese wet, ook bekend onder het Engelse acroniem GDPR, bracht bij veel bedrijven een aardschok teweeg. Maar wat betekent dit eigenlijk nu in de praktijk voor jou? Tijd voor een opfriscursus in begrijpelijke taal.

Gebruik van persoonlijke gegevens werd met de komst van de AVG - Algemene Verordening Gegevensbescherming - strenge regels en hoge boetes aan banden gelegd. Bovendien konden burgers ineens hun dossiers opvragen, vernietiging eisen en bezwaar maken. 

Het eerste recht dat mensen hebben, is inzage in hun persoonsgegevens en het gebruik daarvan. Je kunt een bedrijf vragen om een elektronische kopie van de gegevens plus uitleg wat ze daarmee doen. En dat is handig, want daarmee kun je meteen je andere rechten uitoefenen, met name het recht van correctie en verwijdering. Wat klopt er niet meer, wat voor verouderde informatie zit er in je dossier en wat kan worden geactualiseerd?

Van een andere orde is het recht van bezwaar: als een organisatie je gegevens verwerkt, dan kun je bezwaar maken op grond van persoonlijke omstandigheden. Het bedrijf moet dan de reden voor de verwerking opnieuw beoordelen. (Bij toestemming is het simpeler: je hebt te allen tijde het recht je toestemming in te trekken.) Ook is er de mogelijkheid persoonsgegevens tijdelijk te laten bevriezen in het kader van een dispuut.

Boetes en schadeclaims

Al deze redenen moeten eenvoudig te halen zijn, dus zonder nodeloze hindernissen en sowieso zonder betaling van kosten. Alleen is de praktijk vaak weerbarstig. Bedrijven eisen identificatie met een paspoortkopie, stellen dat je maar langs moet komen om te kijken of beweren dat je überhaupt niet bevoegd bent. Of, nog simpeler, men reageert gewoon niet op je verzoek of volstaat met een mooie volzin dat men echt de AVG naleeft. En dan wordt het ingewikkeld.

De eerste stap die je bij een onwillig of hardhorend bedrijf kunt volgen, is de functionaris gegevensbescherming (ook wel ‘privacy officer’ genoemd) opzoeken. Veel, met name de grotere, bedrijven hebben zo’n speciale privacyfunctionaris en die hoort snel op klachten te reageren. 

Lukt ook dat niet, dan kun je bemiddeling door de Autoriteit Persoonsgegevens verzoeken, maar gezien de beperkte capaciteit en drukte is de kans niet heel groot dat men onmiddellijk tussenbeide komt.

De AVG biedt verder ook de mogelijkheid om een schadeclaim in te dienen. Diverse rechtszaken hebben laten zien dat je zeker in je recht staat als persoonsgegevens worden misbruikt of als je rechten niet worden gehonoreerd. Alleen is de rechter vervolgens heel streng tegen ‘Amerikaanse toestanden’; zomaar grote bedragen eisen, werkt niet.

In Nederland moet er echt een onderbouwing zijn van het schadebedrag. Zonder bonnetjes geen claim. Maar wat dan weer wel kan, is eisen dat men ook in de toekomst gewoon gehoor geeft op korte termijn, op straffe van een dwangsom. Een boete dus voor de volgende keer.

Tekst: Arnoud Engelfriet

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: security, privacy, avg, juridisch