Logo NU.nlNU.nl
  • Voorpagina
  • Net binnen
  • Populair
  • Algemeen
  • Economie
  • Sport
  • Media en Cultuur
  • Achterklap
  • Shop
  • Voorpagina
    • Net binnen
    • Meest gelezen
    • Oorlog Oekraïne
    • Binnenland
    • Buitenland
    • Algemeen
    • Politiek
    • Uit andere media
    • Video
    • Podcast
    • Weer
  • Economie
    • Klimaat
    • Tech
    • Wonen
    • Geld
    • Werk
    • Auto
    • Aandelen
  • Sport
    • Voetbal
    • Formule 1
    • Scorebord
    • Sportspellen
  • Media en cultuur
    • Films en series
    • Muziek
    • Boek en cultuur
    • Media
    • Achterklap
    • Koningshuis
    • TV gids
  • Overig
    • Het Woord
    • Kind en Gezin
    • Dieren
    • Eten en drinken
    • Gezondheid
    • NUcheckt
    • Opmerkelijk
    • Wetenschap
    • Over NU.nl
    • NUfolder
    • NUshop
    • Tickets
Donderdag 1 juni 2023 | Het laatste nieuws het eerst op NU.nl
Consumentenbond KoopKracht privacy

Wat moet je met al die mailtjes over privacyvoorwaarden?

Door NU.nl/Stan Hulsen

25 mei 2018 om 17:04Update: 5 jaar geleden
nujij comment15 reacties
Delen via WhatsAppWhatsAppDelen via FacebookFacebookDelen via TwitterTwitterDelen via LinkedInLinkedInDelen via E-mailE-mail
Het kan je haast niet ontgaan zijn: opvallend veel bedrijven laten je weten dat zij hun privacybeleid aanpassen. In veel gevallen stellen de bedrijven je daarvan per e-mail op de hoogte, en geven zij aan dat de nieuwe regels op 25 mei ingaan.

Dat is niet zonder reden. Op deze dag is een nieuwe Europese privacywet van kracht gegaan: de General Data Protection Regulation (GDPR), in het Nederlands doorvertaald onder de naam Algemene Verordening Gegevensbescherming (AVG). De wet moet burgers in de hele Europese Unie meer controle geven over de persoonsgegevens die bedrijven verzamelen.

De AVG verplicht bedrijven om data op een behoorlijke manier te beveiligen. Daarnaast moeten mensen toestemming geven voor het gebruik van veel soorten persoonsgegevens en mogen hokjes voor het versturen van reclame in heel Europa niet meer standaard aangevinkt worden.

  • Wat betekent de nieuwe Europese privacywet voor jou?
    Zie ookWat betekent de nieuwe Europese privacywet voor jou?

De AVG geldt niet alleen voor grote technologiebedrijven zoals Google, Facebook en andere sociale media, maar ook voor kleine partijen. Ieder bedrijf dat in Europa persoonsgegevens verwerkt, moet vanaf vrijdag kunnen verantwoorden welke gegevens het verzamelt en voor welk doel. Onder persoonsgegevens valt alle informatie die herleidbaar is naar een persoon, zoals naam, adres, e-mailadres en telefoonnummer.

Moeten bedrijven een e-mail versturen om te voldoen aan de AVG?

Nee, het versturen van een e-mail om gebruikers te wijzen op een aangepaste privacybeleid is in veel gevallen niet nodig, zegt Matthias De Bruyne, jurist bij marketingbranchevereniging DDMA. "Ik heb ook veel van dit soort mailtjes ontvangen", zegt hij. "Op zich is het netjes dat bedrijven per e-mail aangeven dat ze hun privacyverklaring hebben aangepast, maar ze hoeven daarvoor niet per se een e-mail te versturen."

"Vooral als er geen grote wijzigingen hebben plaatsgevonden, volstaat een melding op de website ook. Ik denk dat veel bedrijven vooral hun imago hoog willen houden, door te laten merken dat privacy bij hun op de agenda staat. Ik vermoed ook dat er sprake is van volggedrag: de bedrijven versturen e-mails omdat ze zien dat andere bedrijven dat ook doen."

Ook is het niet nodig om gebruikers opnieuw om toestemming te vragen om ze te blijven mailen. "Als een bedrijf voor de AVG al voldeed aan de eisen om e-mail te mogen sturen, mogen ze daar vanaf 25 mei gewoon mee doorgaan zonder gebruikers daarvan op de hoogte te stellen of opnieuw om toestemming te vragen", zegt De Bruyne.

"De reden voor de paniek is waarschijnlijk het feit dat de AVG eist dat bedrijven duidelijk moeten aantonen dat gebruikers toestemming hebben verleend. Ik denk dat veel bedrijven dat op dit moment niet op individueel niveau kunnen doen, ook al hebben ze het destijds netjes gevraagd", vermoedt hij. "Ze zijn daar bezorgd over en grijpen de AVG aan om die toestemming goed in hun systeem te verwerken."

"Bedrijven die al voldeden aan de bestaande wet en gebruikers niet opnieuw om toestemming vragen, mogen ook na 25 mei gewoon e-mails blijven sturen", zegt De Bruyne. "Bedrijven die hun contacten onnodig mailen met de vraag of ze dat mogen blijven doen, lopen het risico dat het antwoord nee is. Als een gebruiker het mailtje negeert of verwijdert, mag het bedrijf die persoon na 25 mei niet meer benaderen."

Moeten gebruikers voortaan altijd toestemming geven voor het verwerken van gegevens?

Nee, bedrijven mogen in veel gevallen ook persoonsgegevens verzamelen en verwerken zonder dat een gebruiker daarvoor toestemming geeft. Dat zegt Frederik Zuiderveen Borgesius, onderzoeker op het gebied van privacy van internetgebruikers bij de Universiteit van Amsterdam. "Toestemming is bijvoorbeeld niet nodig als de persoonsgegevens nodig zijn om de dienst te leveren waar je als gebruiker om vraagt."

Een voorbeeld daarvan is een pizzeria die zijn pizza's bezorgt. "Om die dienst te kunnen leveren, heeft het restaurant jouw adres nodig", zegt hij. "Dat is nodig om die pizza daadwerkelijk bij jou te kunnen bezorgen. De pizzeria hoeft geen toestemming te vragen om je adres te gebruiken, maar moet wel duidelijk maken hoe het met je adresgegevens omgaat, bijvoorbeeld via een privacyverklaring."

Mag een bedrijf mij in sommige gevallen zonder toestemming e-mailen?

Ja, ook als je je niet specifiek hebt aangemeld voor bijvoorbeeld een nieuwsbrief, mogen bedrijven je in sommige gevallen een e-mail sturen. "Een bedrijf mag bestaande klanten berichten sturen over producten die te maken hebben met wat ze eerder hebt gekocht", zegt Zuiderveen Borgesius.

Als voorbeeld noemt hij de pizzeria waar je online een pizza hebt besteld. "Dit bedrijf mag jouw e-mailadres tijdelijk bewaren om je bijvoorbeeld te wijzen op het nieuwe pizzamenu." Daar zitten wel grenzen aan. Zo mag het e-mailadres alleen gebruikt worden door de pizzeria, en niet door derde partijen. Ook mag het bedrijf alleen reclame maken voor producten in dezelfde productgroep vallen als het product dat je in eerste instantie hebt gekocht. De pizzeria mag je dus niet mailen over een vakantie in Italië.

Bovendien moet het bedrijf zijn klanten de mogelijkheid bieden om zich op de e-mails uit te schrijven. "Deze regels vallen overigens niet onder de AVG, maar onder de Telecommunicatiewet", verduidelijkt de onderzoeker. 

Wat verandert er vanaf 25 mei in de praktijk?

De AVG komt op veel punten overeen met zijn voorloper, de Wet bescherming persoonsgegevens (Wbp). In de praktijk moesten bedrijven in Nederland daarom al aan veel van deze regels voldoen. Een groot bedrijf als Google laat zijn Nederlandse gebruikers bijvoorbeeld weten dat het bedrijf "niets verandert aan de manier waarop uw gegevens worden verwerkt."

Een van de zaken die wel verandert, is dat de AVG bedrijven verplicht dat hun privacyverklaring in heldere taal is geschreven. "Dat betekent dat de privacyverklaring vanaf 25 mei geschikt moet zijn voor de doelgroep, dat het duidelijk is welke gegevens een bedrijf verwerkt en dat de verklaring duidelijk leesbaar is", zegt jurist De Bruyne. "Op dit gebied heb ik het idee dat er door bedrijven echt stappen zijn gemaakt."

Foto: Google

De Bruyne wierp op verzoek van NU.nl een blik op de privacyverklaring van een aantal internetbedrijven: die van Google, Twitter, de fitnessapp Strava en de Zweedse muziekstreamingsdienst Spotify.

De privacyverklaring van Google is erg overzichtelijk, oordeelt De Bruyne. "Dit leest een stuk prettiger dan een lange lap tekst, en het is geschreven in een taal die ook een minder technisch onderlegd persoon zal begrijpen. Dat komt overeen met hoe de Europese wetgever het wil zien."

De Bruyne is kritisch op het gebruik van Engelse taal in privacyverklaringen van Twitter en Spotify. "Ik vind dat bedrijven een Nederlandstalige versie moeten aanbieden. Privacyjargon is al lastig, dus maak het gebruikers niet nog moeilijker door mensen in een andere taal dan hun moedertaal te laten lezen." Dat Twitter en Spotify met een kort overzicht de belangrijkste punten benoemen, is volgens hem wel positief.

Fitnessapp Strava schrijft in zijn privacyverklaring dat het bedrijf niet verantwoordelijk is voor "diefstal, vernietiging, verlies of onbedoelde openbaarmaking" van gebruikersgegevens. "Geen enkel bedrijf is 100 procent waterdicht, dat is logisch", zegt De Bruyne. "Maar in de wet staat dat een bedrijf verantwoordelijk is als gegevens op straat komen te liggen. Dat een bedrijf in zijn verklaring zegt dat niet te zijn, doet daar niets aan af."

Foto: Spotify

Voldoen de grote techbedrijven aan de AVG?

In aanloop naar 25 mei worden bedrijven zoals Google, Facebook en andere sociale media met argusogen bekeken. Deze bedrijven verdienen hun geld voornamelijk door het verkopen van advertenties. Door zoveel mogelijk informatie over gebruikers te verzamelen, kunnen zij namelijk zo gericht mogelijke reclame laten zien.

"Het is, ook voor mij als jurist, lastig om te zeggen of een bedrijf volledig voldoet aan de AVG", zegt De Bruyne. "Ik kan bijvoorbeeld niet zien of er iets ontbreekt, bijvoorbeeld als een bedrijf gegevens verzamelt of verwerkt, maar dat niet duidelijk maakt. Het is aan de Europese toezichthouders om dat te controleren."

Ook onderzoeker Zuiderveen Borgesius zegt dat dit nu lastig te controleren is. "Veel grote Amerikaanse techbedrijven hebben hun praktijken aangepast aan de AVG. Het is niet zo simpel om nu al te zeggen of ze aan alle eisen voldoen. De AVG is een brede wet, die op allerlei sectoren van toepassing is. Veel regels uit de AVG laten ruimte voor verschillende interpretaties. In de AVG staat niet voor elk geval zwart op wit een specifieke regel vermeld."

Als een Europese toezichthouder – in Nederland is dat de Autoriteit Persoonsgegevens – concludeert dat een bedrijf handelt in strijd met de AVG, ligt het voor de hand dat die het bedrijf daarvoor op de vingers tikt. "Vermoedelijk zal het bedrijf in kwestie zeggen dat zij de AVG anders interpreteren", zegt Zuiderveen Borgesius. "Dan begint het juridische getouwtrek. Het kan daarbij tot een rechtszaak komen, die tot het Hof van Justitie, de hoogste Europese rechter, kan lopen. Voordat die zich over zo'n zaak uitspreekt, zullen we echter weer jaren verder zijn."

Eerder

  • 25 mei 2018 om 10:25
    Activist klaagt Google en Facebook aan om schenden Europese privacywet
    Activist klaagt Google en Facebook aan om schenden Europese privacywet
  • 25 mei 2018 om 09:07
    'Leegloop bij Autoriteit Persoonsgegevens zorgt voor problemen'
    'Leegloop bij Autoriteit Persoonsgegevens zorgt voor problemen'
  • 24 mei 2018 om 07:54
    'Nieuwe privacywet aanvankelijk minder streng voor kleine organisaties'
    'Nieuwe privacywet aanvankelijk minder streng voor kleine organisaties'
Beeld: iStock
nujij comment15 reacties
Delen via WhatsAppWhatsAppDelen via FacebookFacebookDelen via TwitterTwitterDelen via LinkedInLinkedInDelen via E-mailE-mail

Lees meer over:

PrivacyAVGNUweekend


Aanbevolen artikelen


NUjij-reacties

nujij comment15 reacties

Net binnen

  • 14:14
    Gerard Sanderink ook geschorst als topman van bouwbedrijf Strukton
  • 14:11
    Sifan Hassan staat voor test op FBK Games na mentaal zware trainingsweken
  • 13:57
    Nieuwe hoofdredactie Telegraaf begint na kritiek: 'Werken aan herstel vertrouwen'
  • 13:54
    Bart Deurloo (32) maakt verrassende rentree als turner: 'Toch te vroeg gestopt'

Meest gelezen

  • 1
    That '70s Show-acteur Danny Masterson schuldig bevonden in verkrachtingszaak
  • 2
    Sevilla wint Europa League voor 7e keer na penalty's tegen Roma van Mourinho
  • 3
    Inflatie blijkt hardnekkig, prijzen in mei harder gestegen dan in april
  • 4
    Mourinho belaagt scheidsrechter Taylor na EL-finale zelfs in parkeergarage nog
  • 5
    NU+Zwerm drones treft Moskou: wordt Oekraïne brutaler?


Nieuwsvideo's

  • Brandweer blust peperdure Ferrari in Blaricum
    Brandweer blust peperdure Ferrari in Blaricum
  • Boze Mourinho scheldt huid van scheidsrechter vol na verloren finale
    Boze Mourinho scheldt huid van scheidsrechter vol na verloren finale
  • Vrouw straat op geslingerd door gasexplosie in Mexicaanse bakkerij
    Vrouw straat op geslingerd door gasexplosie in Mexicaanse bakkerij
  • Chinezen duwen brandend piepschuim van vrachtwagen
    Chinezen duwen brandend piepschuim van vrachtwagen

  • Voorpagina
  • Economie
  • Sport
  • Media en cultuur
  • Overig
  • Voorpagina
    • Net binnen
    • Meest gelezen
    • Oorlog Oekraïne
    • Binnenland
    • Buitenland
    • Algemeen
    • Politiek
    • Uit andere media
    • Video
    • Podcast
    • Weer
  • Economie
    • Klimaat
    • Tech
    • Wonen
    • Geld
    • Werk
    • Auto
    • Aandelen
  • Sport
    • Voetbal
    • Formule 1
    • Scorebord
    • Sportspellen
  • Media en cultuur
    • Films en series
    • Muziek
    • Boek en cultuur
    • Media
    • Achterklap
    • Koningshuis
    • TV gids
  • Overig
    • Het Woord
    • Kind en Gezin
    • Dieren
    • Eten en drinken
    • Gezondheid
    • NUcheckt
    • Opmerkelijk
    • Wetenschap
    • Over NU.nl
    • Copyright
    • Disclaimer
    • Privacy en cookiebeleid
    • Adverteren
    • Werken bij NU.nl
    • Verzekeringvergelijker
    • Privacy instellingen
  • Over NU.nl
  • Copyright
  • Disclaimer
  • Privacy en cookiebeleid
  • Adverteren
  • Werken bij NU.nl
  • Verzekeringvergelijker
  • Privacy instellingen

Volg ons op:

©2023 DPG Media B.V. – alle rechten voorbehouden