De AVG privacywet 2018

De nieuwste privacywet Algemene Verordening Gegevensbescherming (AVG) trad 25 mei 2018 in werking en geldt voor een ieder in de Europese Unie die zich bezighoudt met verwerven, opslaan en verwerken van persoonsgegevens. Het bestond al langer, maar vanaf 25 mei kunnen er ook boetes worden opgelegd. Het is een verordening, wat op hetzelfde neerkomt als een nationale wet. Het verzenden van een factuur is al reden om klanten op de hoogte te stellen hoe u om gaat met hun persoonlijke gegevens. U bent verplicht (veiligheids-) maatregelen te treffen als u dat nog niet doet. De meeste ondernemers doen dit al lang en laten het weten middels een privacy verklaring op websites bijvoorbeeld. Maar of iedereen nu of op korte termijn aan de AVG voldoet?  De toezichthouders zullen het druk krijgen vanaf 25 mei

De GPDR (General Data Protection Regulation) gaat over hetzelfde, alleen engelstalig en de officiële naam van deze Europese verordening. Meer beknopte info hierover is te vinden op wikipedia

Plicht

Het is een maatschappelijke plicht om klanten op de hoogte te stellen hoe u omgaat met hun persoonlijke gegevens. Het is tevens een plicht om die gegevens veilig op te bergen en de eigenaar op de hoogte te stellen wanneer u die gegevens uit handen geeft om wat voor reden ook. Stel dat die gegevens ergens op een (uiteraard goedkope!) server staan in de VS en die data komt terecht bij handelaren in persoonsgegevens (en dat gebeurd regelmatig) dan bent u aansprakelijk. Gedupeerden kunnen u dan verantwoordelijk of aansprakelijk stellen. Nalatigheid, onzorgvuldig omgaan met persoonlijke gegevens is een kwalijke zaak. Dat er vanaf morgen nieuwe wetgeving bestaat is bijzonder wenselijk. Het zal met name het vertrouwen in grote bedrijven kunnen verbeteren, mits men zich aan de wet houdt en er ook daadwerkelijk opgetreden wordt door de toezichthouders. Facebook komt er na morgen niet meer mee weg is de verwachting.

Cookiewetgeving

Ik zie sterke overeenkomsten met de mist rond de cookiewetgeving in 2012. Er is heel veel onduidelijk. Ik word als zzp ondernemer niet officieel geïnformeerd door de wetgever. Ik ben geïnformeerd door het FNV, omdat ik daar toevallig lid van ben, berichten uit de media en vandaag ook van de KvK.

Webhosting

Het is verstandig om hosting te betrekken en te leveren op Europees of liever nog Nederlands grondgebied. Als het gaat zorgvuldig om te gaan met persoonlijke gegevens van klanten uit Nederland die een website bezitten is dat één van de eerste vereisten. De regelgeving buiten Europa op het gebied van privacy is vaak heel anders. Als je advies geeft over hosting (of een website hebt) moet je dat goed beseffen en er niet aan beginnen om websites op servers buiten de Europese Unie te plaatsen, tenzij er helemaal geen sprake is van opslag van persoonlijke gegevens.

Hoeveel websites van Nederlandse eigenaren daar niet aan voldoen? Ik heb geen idee, maar het zijn er meer dan de helft. De reden: webhosting buiten de Europese Unie is vaak goedkoper. Website bezitters weten vaak niet in welk land de server staat waarop hun website wordt gehost. Als het mis gaat is de aanbieder aansprakelijk. Dat is in eerste plaats de domein eigenaar. Maar als deze niet is geïnformeerd zal men aankloppen bij de websitebouwer. Er zijn er genoeg die niet weten in welk land de webhosting plaats vind. Het excuus dat de website in de VS werd gehost en er daarom andere regelgeving domineert boven de GDPR gaat niet op. Het is bijzonder dat er eindelijk daadkrachtige wetgeving bestaat van 25 mei 2018.