Het kan je haast niet ontgaan zijn: opvallend veel bedrijven laten je weten dat zij hun privacybeleid aanpassen. In veel gevallen stellen de bedrijven je daarvan per e-mail op de hoogte, en geven zij aan dat de nieuwe regels op 25 mei ingaan.

Dat is niet zonder reden. Op deze dag is een nieuwe Europese privacywet van kracht gegaan: de General Data Protection Regulation (GDPR), in het Nederlands doorvertaald onder de naam Algemene Verordening Gegevensbescherming (AVG). De wet moet burgers in de hele Europese Unie meer controle geven over de persoonsgegevens die bedrijven verzamelen.

De AVG verplicht bedrijven om data op een behoorlijke manier te beveiligen. Daarnaast moeten mensen toestemming geven voor het gebruik van veel soorten persoonsgegevens en mogen hokjes voor het versturen van reclame in heel Europa niet meer standaard aangevinkt worden.

De AVG geldt niet alleen voor grote technologiebedrijven zoals Google, Facebook en andere sociale media, maar ook voor kleine partijen. Ieder bedrijf dat in Europa persoonsgegevens verwerkt, moet vanaf vrijdag kunnen verantwoorden welke gegevens het verzamelt en voor welk doel. Onder persoonsgegevens valt alle informatie die herleidbaar is naar een persoon, zoals naam, adres, e-mailadres en telefoonnummer.

Moeten bedrijven een e-mail versturen om te voldoen aan de AVG?

Nee, het versturen van een e-mail om gebruikers te wijzen op een aangepaste privacybeleid is in veel gevallen niet nodig, zegt Matthias De Bruyne, jurist bij marketingbranchevereniging DDMA. "Ik heb ook veel van dit soort mailtjes ontvangen", zegt hij. "Op zich is het netjes dat bedrijven per e-mail aangeven dat ze hun privacyverklaring hebben aangepast, maar ze hoeven daarvoor niet per se een e-mail te versturen."

"Vooral als er geen grote wijzigingen hebben plaatsgevonden, volstaat een melding op de website ook. Ik denk dat veel bedrijven vooral hun imago hoog willen houden, door te laten merken dat privacy bij hun op de agenda staat. Ik vermoed ook dat er sprake is van volggedrag: de bedrijven versturen e-mails omdat ze zien dat andere bedrijven dat ook doen."

Ook is het niet nodig om gebruikers opnieuw om toestemming te vragen om ze te blijven mailen. "Als een bedrijf voor de AVG al voldeed aan de eisen om e-mail te mogen sturen, mogen ze daar vanaf 25 mei gewoon mee doorgaan zonder gebruikers daarvan op de hoogte te stellen of opnieuw om toestemming te vragen", zegt De Bruyne.

"De reden voor de paniek is waarschijnlijk het feit dat de AVG eist dat bedrijven duidelijk moeten aantonen dat gebruikers toestemming hebben verleend. Ik denk dat veel bedrijven dat op dit moment niet op individueel niveau kunnen doen, ook al hebben ze het destijds netjes gevraagd", vermoedt hij. "Ze zijn daar bezorgd over en grijpen de AVG aan om die toestemming goed in hun systeem te verwerken."

"Bedrijven die al voldeden aan de bestaande wet en gebruikers niet opnieuw om toestemming vragen, mogen ook na 25 mei gewoon e-mails blijven sturen", zegt De Bruyne. "Bedrijven die hun contacten onnodig mailen met de vraag of ze dat mogen blijven doen, lopen het risico dat het antwoord nee is. Als een gebruiker het mailtje negeert of verwijdert, mag het bedrijf die persoon na 25 mei niet meer benaderen."

Moeten gebruikers voortaan altijd toestemming geven voor het verwerken van gegevens?

Nee, bedrijven mogen in veel gevallen ook persoonsgegevens verzamelen en verwerken zonder dat een gebruiker daarvoor toestemming geeft. Dat zegt Frederik Zuiderveen Borgesius, onderzoeker op het gebied van privacy van internetgebruikers bij de Universiteit van Amsterdam. "Toestemming is bijvoorbeeld niet nodig als de persoonsgegevens nodig zijn om de dienst te leveren waar je als gebruiker om vraagt."

Een voorbeeld daarvan is een pizzeria die zijn pizza's bezorgt. "Om die dienst te kunnen leveren, heeft het restaurant jouw adres nodig", zegt hij. "Dat is nodig om die pizza daadwerkelijk bij jou te kunnen bezorgen. De pizzeria hoeft geen toestemming te vragen om je adres te gebruiken, maar moet wel duidelijk maken hoe het met je adresgegevens omgaat, bijvoorbeeld via een privacyverklaring."

Mag een bedrijf mij in sommige gevallen zonder toestemming e-mailen?

Ja, ook als je je niet specifiek hebt aangemeld voor bijvoorbeeld een nieuwsbrief, mogen bedrijven je in sommige gevallen een e-mail sturen. "Een bedrijf mag bestaande klanten berichten sturen over producten die te maken hebben met wat ze eerder hebt gekocht", zegt Zuiderveen Borgesius.

Als voorbeeld noemt hij de pizzeria waar je online een pizza hebt besteld. "Dit bedrijf mag jouw e-mailadres tijdelijk bewaren om je bijvoorbeeld te wijzen op het nieuwe pizzamenu." Daar zitten wel grenzen aan. Zo mag het e-mailadres alleen gebruikt worden door de pizzeria, en niet door derde partijen. Ook mag het bedrijf alleen reclame maken voor producten in dezelfde productgroep vallen als het product dat je in eerste instantie hebt gekocht. De pizzeria mag je dus niet mailen over een vakantie in Italië.

Bovendien moet het bedrijf zijn klanten de mogelijkheid bieden om zich op de e-mails uit te schrijven. "Deze regels vallen overigens niet onder de AVG, maar onder de Telecommunicatiewet", verduidelijkt de onderzoeker. 

Wat verandert er vanaf 25 mei in de praktijk?

De AVG komt op veel punten overeen met zijn voorloper, de Wet bescherming persoonsgegevens (Wbp). In de praktijk moesten bedrijven in Nederland daarom al aan veel van deze regels voldoen. Een groot bedrijf als Google laat zijn Nederlandse gebruikers bijvoorbeeld weten dat het bedrijf "niets verandert aan de manier waarop uw gegevens worden verwerkt."

Een van de zaken die wel verandert, is dat de AVG bedrijven verplicht dat hun privacyverklaring in heldere taal is geschreven. "Dat betekent dat de privacyverklaring vanaf 25 mei geschikt moet zijn voor de doelgroep, dat het duidelijk is welke gegevens een bedrijf verwerkt en dat de verklaring duidelijk leesbaar is", zegt jurist De Bruyne. "Op dit gebied heb ik het idee dat er door bedrijven echt stappen zijn gemaakt."

De Bruyne wierp op verzoek van NU.nl een blik op de privacyverklaring van een aantal internetbedrijven: die van Google, Twitter, de fitnessapp Strava en de Zweedse muziekstreamingsdienst Spotify.

De privacyverklaring van Google is erg overzichtelijk, oordeelt De Bruyne. "Dit leest een stuk prettiger dan een lange lap tekst, en het is geschreven in een taal die ook een minder technisch onderlegd persoon zal begrijpen. Dat komt overeen met hoe de Europese wetgever het wil zien."

De Bruyne is kritisch op het gebruik van Engelse taal in privacyverklaringen van Twitter en Spotify. "Ik vind dat bedrijven een Nederlandstalige versie moeten aanbieden. Privacyjargon is al lastig, dus maak het gebruikers niet nog moeilijker door mensen in een andere taal dan hun moedertaal te laten lezen." Dat Twitter en Spotify met een kort overzicht de belangrijkste punten benoemen, is volgens hem wel positief.

Fitnessapp Strava schrijft in zijn privacyverklaring dat het bedrijf niet verantwoordelijk is voor "diefstal, vernietiging, verlies of onbedoelde openbaarmaking" van gebruikersgegevens. "Geen enkel bedrijf is 100 procent waterdicht, dat is logisch", zegt De Bruyne. "Maar in de wet staat dat een bedrijf verantwoordelijk is als gegevens op straat komen te liggen. Dat een bedrijf in zijn verklaring zegt dat niet te zijn, doet daar niets aan af."

Voldoen de grote techbedrijven aan de AVG?

In aanloop naar 25 mei worden bedrijven zoals Google, Facebook en andere sociale media met argusogen bekeken. Deze bedrijven verdienen hun geld voornamelijk door het verkopen van advertenties. Door zoveel mogelijk informatie over gebruikers te verzamelen, kunnen zij namelijk zo gericht mogelijke reclame laten zien.

"Het is, ook voor mij als jurist, lastig om te zeggen of een bedrijf volledig voldoet aan de AVG", zegt De Bruyne. "Ik kan bijvoorbeeld niet zien of er iets ontbreekt, bijvoorbeeld als een bedrijf gegevens verzamelt of verwerkt, maar dat niet duidelijk maakt. Het is aan de Europese toezichthouders om dat te controleren."

Ook onderzoeker Zuiderveen Borgesius zegt dat dit nu lastig te controleren is. "Veel grote Amerikaanse techbedrijven hebben hun praktijken aangepast aan de AVG. Het is niet zo simpel om nu al te zeggen of ze aan alle eisen voldoen. De AVG is een brede wet, die op allerlei sectoren van toepassing is. Veel regels uit de AVG laten ruimte voor verschillende interpretaties. In de AVG staat niet voor elk geval zwart op wit een specifieke regel vermeld."

Als een Europese toezichthouder – in Nederland is dat de Autoriteit Persoonsgegevens – concludeert dat een bedrijf handelt in strijd met de AVG, ligt het voor de hand dat die het bedrijf daarvoor op de vingers tikt. "Vermoedelijk zal het bedrijf in kwestie zeggen dat zij de AVG anders interpreteren", zegt Zuiderveen Borgesius. "Dan begint het juridische getouwtrek. Het kan daarbij tot een rechtszaak komen, die tot het Hof van Justitie, de hoogste Europese rechter, kan lopen. Voordat die zich over zo'n zaak uitspreekt, zullen we echter weer jaren verder zijn."