Op 27 april 2016 werd door het Europees Parlement en de Raad van Europa de General Data Protection Regulation (GDPR) ondertekend, in het Nederlands de Algemene verordening gegevensbescherming (AVG). In de basis stelt de wet dat het straks voor gebruikers glashelder moet zijn welke data bedrijven, instanties en sites over hen willen hebben, of al hebben opgeslagen.

Het gaat om persoonlijke data in de breedste zin: naam, adres, foto’s, e-mailadres, vingerafdruk, medische gegevens, IP-adressen en nog veel meer. Ook moet precies duidelijk worden gemaakt waar die gegevens voor gebruikt worden, en hoe ze zijn opgeslagen.

Als gebruikers dat willen, moeten de bedrijven hun klanten inzicht bieden in hun gegevens, die op verzoek aanpassen, verwijderen of overdragen aan een ander bedrijf wanneer consumenten bijvoorbeeld overstappen van energiebedrijf of telefoonprovider.

De rechten gelden voor alle EU-burgers. Alle bedrijven die in de EU diensten aanbieden moeten aan de regels voldoen, van Facebook en Google tot de plaatselijke voetbalclub en bank.

Wat verandert er voor Europeanen?

Zo simpel als de insteek van de wet, zo divers zijn de gevolgen. Zo legt de EU op deze pagina aan burgers uit wat er straks verandert, aan de hand van een heleboel praktijkvoorbeelden.

Zoals: Mogen de persoonsgegevens van kinderen worden verzameld? Antwoord: Nee, tenzij ouders daar toestemming voor geven. Of: Kan ik een onderneming of organisatie vragen om mijn persoonsgegevens te wissen? Antwoord: Ja, bijvoorbeeld wanneer de gegevens niet langer nodig zijn of als gegevens op onwettige wijze zijn gebruikt.

De gemiddelde burger profiteert echter automatisch van veel gevolgen van de AVG. "De wet is vooral gericht op bedrijven", aldus Bibi van den Berg, hoogleraar Internet en Openbaar Bestuur aan de Universiteit Leiden. "Zie de regels als de autogordels voor het internet: die waren vroeger ook niet verplicht, maar dat is nu ondenkbaar."

We zetten een paar voorbeelden van veranderingen op een rij waar de meesten geen omkijken, maar wel baat bij hebben:

Van bedrijven wordt verwacht dat zij data op een behoorlijke manier beveiligen, en bij een datalek bestaat er een meldplicht. In het verleden werden datalekken met persoonsgegevens soms niet gemeld, bijvoorbeeld omdat bedrijven bang waren voor de slechte publiciteit door zo’n melding.

Bedrijven moeten straks duidelijk toestemming vragen voor het gebruik van gegevens, en helder en begrijpelijk uitleggen waar ze die gegevens voor gaan gebruiken, wie ze te zien krijgt, waar de gegevens bewaard worden en hoelang. Dat mag niet meer worden weggemoffeld in kleine lettertjes of paginalange gebruiksvoorwaarden. Bedrijven moeten beknopt, transparant en in eenvoudige taal uitleggen waar ze data voor nodig hebben.

Inschrijfformulieren mogen niet meer met standaard aangevinkte hokjes worden aangeboden, bijvoorbeeld het hokje 'Ja ik wil op de hoogte gehouden worden van nieuwe producten'. Dat 'trucje' gebruikten bedrijven jarenlang om reclame naar klanten te sturen, die daar nooit om hebben gevraagd. Nadrukkelijke toestemming van de gebruiker is onder de nieuwe wet vereist.

Toestemming is ook nodig om leden van bestaande nieuwsbrieven te blijven e-mailen. Krijg je al nieuwsbrieven van een bedrijf, dan moet dat bedrijf burgers nadrukkelijk toestemming vragen om ook na 25 mei te blijven mailen. Sommige bedrijven vragen hun klanten nu al in mailtjes of zij hen mogen blijven mailen. Doet de ontvanger niets, dan moet zijn adres automatisch uit de mailinglijst verwijderd worden.

Bepaalde gegevens mogen standaard niet meer gevraagd of verwerkt worden. Het gaat dan om zaken als ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, biometrische en medische gegevens en seksueel gedrag of seksuele geaardheid. De gegevens mogen wel worden verwerkt als de gebruiker die zelf openbaar maakt: Instagram hoeft bijvoorbeeld geen foto's te verwijderen waarop mensen hun religie of seksuele geaardheid openbaar maken.

Welke inspraak krijgen burgers door de wet?

De AVG geeft burgers ook meer inspraak in de data die bedrijven over hen verzamelen of voor hen bewaren:

Burgers hebben straks het recht op inzage in de persoonsgegevens die bedrijven over hen hebben opgeslagen, en mogen eisen die data zelf digitaal te ontvangen. Een voorbeeld: een supermarkt houdt met een klantenkaart bij wat de klant waar en wanneer heeft gekocht, en doet persoonlijke aanbiedingen. Als de klant daar om vraagt, moet de supermarkt alle verzamelde data over de klant laten zien. Hetzelfde geldt voor bijvoorbeeld sociale media zoals Facebook.

Burgers hebben bij alle bedrijven een 'recht om vergeten te worden'. Als zij niet willen dat bijvoorbeeld negatieve of beschamende informatie op een sociaal netwerk terug te vinden is, kunnen zij verzoeken die data te verwijderen. Een bedrijf hoeft niet altijd aan die eis te voldoen: zo mag een nieuwssite bijvoorbeeld een negatief verhaal over iemand met naam en toenaam brengen, zolang dat bericht maar klopt. Foto's en berichten die door minderjarigen zijn geplaatst, moeten op verzoek altijd worden verwijderd.

Bedrijven moeten straks uiterlijk binnen één maand op dataverzoeken van klanten reageren. Bedrijven moeten het klanten makkelijk maken om dataverzoeken te doen.

Lost de wet alle problemen op?

De wet maakt veel dingen op papier veiliger, makkelijker en duidelijker voor burgers. Maar geldt dat straks ook in de praktijk? "Ja, op het vlak van gegevensbescherming is de wet een verbetering", zegt Van den Berg. "Er zullen nog steeds dingen misgaan, maar de kans op fouten bij bedrijven is kleiner, mede door de hoge sancties."

In elk land is er een toezichthouder die controleert of bedrijven zich wel aan de regels houden. In Nederland is die toezichthouder de Autoriteit Persoonsgegevens (AP). Als een bedrijf de nieuwe wet overtreedt, kan de AP een maximale boete van 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet opleggen, waarbij de hoogste variant geldt.

Ook onder de huidige regels mag AP boetes opleggen, maar dat is nog nooit gebeurd. De nieuwe wet legt de lat lager, maar de autoriteit blijft boetes per geval afwegen. "Een boete is soms een passende maatregel. Bij de Autoriteit Persoonsgegevens zijn we redelijke mensen die een groot maatschappelijk belang behartigen", aldus AP-voorzitter Aleid Wolfsen. "Het recht op privacy is een grondrecht van iedere Nederlander, en wij beschermen dat grondrecht. Bij een overtreding zullen we de situatie zorgvuldig onderzoeken. Soms zal een waarschuwing voldoende zijn, maar als er opzettelijk fouten worden gemaakt, kan een boete volgen."

Boetes gaan overigens naar de schatkist van de minister van Financiën.

Worden die boetes snel uitgedeeld?

Van den Berg verwacht dat grote bedrijven niet snel beboet zullen worden. "Grote bedrijven zijn twee jaar geleden al begonnen met hun voorbereiding op de wet, dus die hebben hun zaken inmiddels wel op orde", verwacht Van den Berg. AP zegt ook dat het de afgelopen twee jaar ziet als een overgangsperiode, en is van plan direct met passende sancties op te treden tegen bedrijven die de wet overtreden.

Toch is op 25 mei nog lang niet elk bedrijf en elke instantie voorbereid. Zo bleek onlangs dat duizenden sportclubs in Nederland nog niet klaar zijn voor de nieuwe privacywet. En ook voor veel midden- en kleinbedrijven kan het lastig zijn om aan de wet te voldoen, omdat zij soms niet eens weten dat de data die zij verwerken onder de wet valt of te laat zijn begonnen aan de aanpassing van hun systemen.

De Autoriteit Persoonsgegevens kan tegen zulke bedrijven optreden, maar dat zal vooral gebeuren als misstanden naar buiten komen of als burgers een klacht indienen. Maar als bijvoorbeeld een kleine voetbalclub zijn gegevens niet volgens de regels bewaart, kan dat jaren onopgemerkt en zonder gevolgen blijven. In andere gevallen zal de autoriteit optreden.

"Dat hoort bij de overgang, en in het begin zullen er zeker fouten worden gemaakt", aldus Van den Berg. "Bedrijven worden door de naderende wet wel wakker geschud, en de tijd zal uitwijzen dat deze wet straks een normaal onderdeel is van omgaan met data."