De EU-regels garanderen dat uw persoonsgegevens worden beschermd door degene die ze verzamelt, bijv. door het bedrijf waarbij u iets koopt of solliciteert, of door de bank waarbij u een lening aanvraagt. Dit geldt voor alle bedrijven en organisaties (overheid en privé) in de EU en daarbuiten die in de EU goederen of diensten aanbieden, dus ook voor bijvoorbeeld Facebook of Amazon als zij gegevens van personen in de EU vragen of hergebruiken.
Het maakt niet uit hoe de gegevens worden verzameld, online per computer of op papier in een gestructureerd document, want elke keer als er gegevens worden opgeslagen of verwerkt waarbij u als persoon al dan niet rechtstreeks geïdentificeerd kunt worden, moet uw recht op gegevensbescherming worden gerespecteerd.
Wanneer mogen mijn gegevens worden verwerkt?
Volgens de EU-regels, de algemene verordening gegevensbescherming (AVG), mag een bedrijf of organisatie uw persoonlijke gegevens verzamelen of hergebruiken wanneer:
- zij een contract met u hebben, bijv. een contract om goederen of diensten te leveren (denk aan webshops) of een arbeidscontract (uw werkgever)
- daartoe een wettelijk verplichting bestaat, bijv. wanneer uw werkgever uw maandelijkse inkomsten doorgeeft aan de overheid zodat u correct verzekerd blijft
- dat voor u van levensbelang is, bijv. in levensbedreigende situaties
- dat nodig is voor openbare dienstverlening, meestal door overheidsinstanties zoals scholen, ziekenhuizen en gemeenten
- er legitieme belangen in het spel zijn, bijv. wanneer uw bank uw persoonsgegevens nodig heeft om na te gaan of u recht heeft op een hogere rente
In alle andere gevallen moeten bedrijven en organisaties uitdrukkelijk toestemming van u krijgen voordat ze uw persoonsgegevens mogen opslaan of hergebruiken.
Toestemming om uw gegevens te verwerken
Als een bedrijf of organisatie u om toestemming vraagt, moet u daarvoor een duidelijke handeling verrichten, bijvoorbeeld een akkoordverklaring ondertekenen, of "Ja" aanvinken op een webpagina waar u duidelijk kunt kiezen tussen "Nee" en "Ja".
Het is bijvoorbeeld niet voldoende om alleen maar vragen of u geen reclame wilt ontvangen. U moet dus uitdrukkelijk kunnen verklaren of u al dan niet instemt met de opslag en/of het hergebruik van uw persoonsgegevens voor dit doel.
Voordat u die keuze maakt, moet u de volgende informatie krijgen:
- de naam en contactgegevens van de onderneming of organisatie die uw gegevens verwerkt en de contactgegevens van de medewerker voor gegevensbescherming (als die er is)
- de reden waarom uw gegevens worden verwerkt
- hoelang uw gegevens worden bewaard
- met welke andere bedrijven/organisaties uw persoonsgegevens worden gedeeld
- uw rechten inzake gegevensbescherming (inzage, verbetering, verwijdering, klachten, intrekking van toestemming)
Al deze informatie moet helder en begrijpelijk zijn.
Uw toestemming intrekken en uw recht om bezwaar te maken
Heeft u een bedrijf of organisatie eenmaal toestemming gegeven om uw persoonsgegevens te gebruiken, dan kunt u op elk gewenst moment contact opnemen met de gegevensbeheerder (de persoon of instantie die verantwoordelijk is voor de verwerking van uw persoonsgegevens) en uw toestemming intrekken. Heeft u uw toestemming ingetrokken, dan mag het bedrijf of de organisatie uw persoonsgegevens niet meer gebruiken.
Verwerkt een organisatie uw persoonsgegevens op grond van een eigen legitiem belang, ten behoeve van openbare dienstverlening of namens de overheid, dan heeft u het recht om bezwaar te maken. In bepaalde gevallen kan het algemeen belang voorgaan en mag het bedrijf of de organisatie uw gegevens blijven gebruiken. Dat kan het geval zijn voor wetenschappelijk of statistisch onderzoek of bij officiële taken van een overheidsinstantie.
Direct marketing, zoals e-mails met reclame voor bepaalde merken of producten, mag alleen als u uitdrukkelijk toestemming heeft gegeven. Maar bent u een bestaande klant van een bedrijf, dan mogen zij u wel direct marketing over vergelijkbare diensten en producten sturen. U kunt altijd bezwaar maken. Het bedrijf moet dan ook onmiddellijk stoppen met de direct marketing en het mag uw gegevens verder niet meer gebruiken.
U moet bij uw eerste contact met een bedrijf of organisatie altijd worden ingelicht over uw recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens.
Voorbeeld
Bezwaar maken tegen direct marketing
Anatolios kocht online twee kaartjes voor een liveconcert van zijn favoriete band. Daarna kreeg hij meer en meer e-mails met reclame voor concerten en evenementen waar hij geen belangstelling voor had. Hij name contact op met de ticketverkoper en vroeg om te stoppen met deze e-mails. Het bedrijf verwijderde hem meteen van de mailinglist. Anatolios was blij om verlost te zijn van de reclame van die ticketverkoper.
Speciale regels voor kinderen
Als uw kinderen onlinediensten willen gebruiken, zoals sociale media, muziekplatforms of games, dan hebben ze meestal toestemming nodig van u als ouder of voogd, om de persoonsgegevens van uw kind gebruiken. Kinderen moeten die ouderlijke toestemming blijven vragen tot ze 16 (in sommige EU-landen 13) zijn. Die ouderlijke toestemming moet goed worden gecontroleerd, bijvoorbeeld door een bericht naar het e-mailadres van de ouder of voogd te sturen.
Toegang tot uw persoonsgegevens
U kunt bedrijven en organisaties vragen welke gegevens zij over u bewaren. U moet die gegevens kunnen inzien en daarvan gratis een kopie kunnen krijgen in een leesbaar formaat. Zij moeten binnen een maand reageren en u een kopie van uw persoonsgegevens sturen, plus informatie over hoe uw gegevens zijn of worden gebruikt.
Voorbeeld
Weet wat er over u wordt opgeslagen, en hoe het wordt gebruikt
Maciej uit Polen vroeg een klantenkaart aan bij de supermarkt bij hem in de buurt. Kort nadat hij zich had ingeschreven, begon hij betere kortingsbonnen te krijgen. Hij vroeg zich af of dat met die klantenkaart te maken had. Hij informeerde bij de supermarkt en vroeg aan de medewerker voor gegevensbescherming welke gegevens ze over hem opsloegen en hoe ze die gebruikten. Maciej ontdekte dat de supermarkt precies bijhield welke producten hij elke week kocht en hem zo kortingsbonnen kon sturen voor de producten die hij het vaakst kocht.
Uw persoonlijke gegevens corrigeren
Heeft een bedrijf of organisatie verkeerder of onvolledige persoonlijke gegevens over u opgeslagen, dan kunt u deze gegevens laten aanvullen of corrigeren.
Voorbeeld
Foutieve gegevens over uzelf corrigeren is uw goed recht
Alison wilde een nieuw huis kopen in Ierland en ging naar de bank voor een hypotheek. Bij het invullen van alle formulieren maakte ze een foutje waardoor een verkeerde geboortedatum in het systeem van de bank kwam te staan.
Ze besefte het pas toen ze een hypotheekaanbod kreeg en de premie voor de bijbehorende levensverzekering veel hoger was dan eerder beloofd. Ze nam contact op met de bank en vroeg om haar persoonsgegevens te corrigeren. Daarop kreeg ze een nieuw voorstel en daar stond haar geboortedatum wel correct op.
Persoonsgegevens overdragen ("recht op overdraagbaarheid")
In bepaalde gevallen kunt u een bedrijf of organisatie vragen om uw persoonsgegevens aan u terug te geven of rechtstreeks aan een ander bedrijf over te dragen, voor zover dat technisch mogelijk is. Dit wordt ook wel "gegevensoverdraagbaarheid" genoemd. Dit kan bijvoorbeeld handig zijn wanneer u overstapt op een nieuwe energieleverancier of een nieuw sociaal platform. Zo krijgt het nieuwe bedrijf snel en simpel uw persoonsgegevens.
Persoonsgegevens wissen ("recht om te worden vergeten")
Heeft u een bedrijf of organisatie niet meer nodig, of worden uw gegevens op een onwettige manier gebruikt, dan kunt u opdracht geven om uw gegevens te verwijderen. Dit heet het "recht om te worden vergeten".
Deze regels gelden ook voor zoekmachines, zoals Google, omdat zij ook als gegevensbeheerders worden beschouwd. U kunt eisen dat er in de zoekresultaten geen links meer verschijnen naar pagina's waarop uw naam voorkomt, als de informatie onjuist, niet passend, irrelevant of buitensporig is.
Heeft een bedrijf uw gegevens online gezet en eist u dat die worden verwijderd, dan moet zo'n bedrijf dat ook vragen aan alle andere websites waarmee het uw gegevens heeft gedeeld.
Om bepaalde andere rechten te beschermen, zoals het recht op vrije meningsuiting, mogen niet alle gegevens automatisch worden verwijderd. Om een voorbeeld te noemen: controversiële uitspraken in het openbaar mogen niet worden verwijderd als het algemeen belang erbij gebaat is dat ze online blijven.
Voorbeeld
Gegevens laten wissen en van andere websites laten verwijderen
Alfredo besloot om voortaan geen sociale media meer te gebruiken, dus hij wiste zijn profiel op alle sites waar hij een account had. Maar een paar weken later doken zijn oude profielfoto's toch weer op toen hij zijn naam intikte in een zoekmachine. Alfredo nam contact op met de betrokken sociale media en vroeg om deze foto's te laten verdwijnen. Toen hij een maand later nog eens keek, stonden zijn foto's inderdaad niet meer in de zoekresultaten.
Ongeoorloofde toegang ("inbreuken in verband met persoonsgegevens")
Als uw gegevens gestolen worden, kwijtraken of onrechtmatig ingekeken worden (formeel een "inbreuk in verband met persoonsgegevens") dan moet de gegevensbeheerder (de persoon of instantie die verantwoordelijk is voor de verwerking van uw gegevens) dit melden bij de nationale autoriteit voor gegevensbescherming. De gegevensbeheerder moet u ook onmiddellijk op de hoogte brengen wanneer door zo'n inbreuk uw gegevens of privacy in gevaar komen.
Een klacht indienen
Meent u dat uw rechten inzake gegevensbescherming geschonden zijn, dan kunt u een klacht indienen bij uw nationale autoriteit voor gegevensbescherming. Die moet de klacht dan onderzoeken en u binnen drie maanden een antwoord sturen.
U kunt ook direct naar de rechter stappen en een zaak aanspannen tegen het bedrijf of de organisatie.
Lijdt u door een inbreuk van een bedrijf of organisatie materiële schade (zoals extra kosten) of immateriële schade (bijvoorbeeld psychologische problemen), dan kunt u recht hebben op een schadeloosstelling.
Cookies
Cookies zijn kleine tekstbestanden die een website via de browser op uw computer of mobiel apparaat wil opslaan. Cookies maken websites efficiënter doordat uw voorkeuren worden opgeslagen. Er zijn ook cookies die uw internetgebruik volgen, gebruikersprofielen aanmaken en u gerichte reclame laten zien.
Elke website die cookies op uw computer of mobiel apparaat wil opslaan, moet u daarvoor van tevoren om toestemming vragen. Het is niet genoeg dat de website het u gewoon meedeelt, of u alleen maar uitlegt hoe u de cookies kunt deactiveren.
Websites moeten ook uitleggen hoe de informatie in de cookies zal worden gebruikt. U moet uw toestemming ook weer kunnen intrekken. Als u de toestemming weigert, moet de website u toch een soort minimale dienstverlening bieden, zodat u bijvoorbeeld toch een gedeelte van de website kunt bekijken.
Sommige cookies mogen zonder uw toestemming worden opgeslagen. Voor cookies die alleen gebruikt worden om informatie over te brengen, hoeft een website geen toestemming te vragen. Dit omvat onder andere de cookies die gebruikt worden om verzoeken over diverse servers te spreiden ("load balancing"). Cookies die onmisbaar zijn voor onlinediensten waar u als gebruiker uitdrukkelijk om heeft gevraagd, mag de website ook opslaan zonder toestemming te vragen. Hierbij gaat het bijvoorbeeld om de cookies die nodig zijn wanneer u een onlineformulier invult, of iets in het winkelmandje van een webshop doet.