Herinner je je die tijd nog? Het voelde alsof er plotseling overal stickers verschenen. “Let op, camera in beeld!” Of je nu bij de bakker was, in de bibliotheek of gewoon rustig over straat liep.
▶Inhoudsopgave
De wereld van privacy veranderde drastisch en kreeg een nieuwe naam: de AVG. Officieel heet het de Algemene Verordening Gegevensbescherming, maar iedereen kent het als de cookiemelding op websites en de cameratoezicht-stickers bij de supermarkt.
Voordat deze regel in 2018 inging, hadden we in Nederland de Wet bescherming persoonsgegevens, afgekort tot Wbp. Dat klinkt misschien als een saai juridisch detail, maar het verschil tussen die oude Wbp en de nieuwe AVG is best groot. Het is niet alleen een naamswijziging; het is een complete mindset-shift. Laten we eens kijken wat er echt veranderde en wat dat voor jou betekent in simpel, begrijpelijk Nederlands.
De Wbp: de oude situatie
De Wet bescherming persoonsgegevens (Wbp) was onze basiswet tot 25 mei 2018.
Het was een Nederlandse wet. De Wbp zorgde ervoor dat bedrijven niet zomaar je gegevens mochten verzamelen. Het was een prima wet, maar er was een probleem: het voelde soms alsof de boot een beetje dicht was getimmerd, maar er nog genoeg gaten in zaten. De Wbp was vooral gericht op het verwerken van persoonsgegevens door overheden en bedrijven.
Het had regels, maar de controle was vaak lastig. Toen de digitale wereld explodeerde – denk aan social media, cloud-opslag en datahandel – bleek dat de Wbp niet meer toereikend was.
Het was een wet uit een tijdperk waarin internet nog in de kinderschoenen stond.
Er was een Europese oplossing nodig om het speelveld gelijk te trekken.
De AVG: de nieuwe wereldorde
De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht. Het is een Europese verordening.
Dat betekent dat de regels in alle EU-landen hetzelfde zijn. Geen gedoe meer met twintig verschillende nationale wetten; één hoofdregel voor iedereen.
Dit zorgde voor een stormloop aan aanpassingen bij bedrijven, van de grootste tech-giganten tot de lokale sportvereniging. Het grootste verschil? De nadruk ligt nu veel meer op verantwoordelijkheid.
Rechten van jou als persoon
Onder de Wbp was het vaak: “Is het verboden? Nee? Dan mag het wel.” Onder de AVG draait het om: “Is het nodig? En kan ik het uitleggen?” Het principe van accountability (verantwoordelijkheid afleggen) is het toverwoord geworden. De Wbp kende al rechten, maar de AVG heeft ze flink versterkt en uitgebreid.
Onder de Wbp had je bijvoorbeeld recht op inzage en correctie. De AVG voegt hier serieus gewicht aan toe:
- Recht op vergetelheid: Dit is nieuw ten opzichte van de Wbp. Jij mag bedrijven vragen om al jouw gegevens te verwijderen, tenzij er een wettelijke plicht is om ze te bewaren (bijvoorbeeld voor de belastingdienst).
- Recht op dataportabiliteit: Dit klinkt ingewikkeld, maar is simpel: jij mag jouw gegevens meenemen. Sta je bijvoorbeeld op het punt om over te stappen van e-mailprovider? Je mag je contacten en oude mails in een gestandaardiseerd formaat downloaden en bij de nieuwe provider uploaden. Onder de Wbp was dit technisch veel lastiger.
- Recht op bezwaar: Je kunt altijd bezwaar maken tegen de verwerking van je gegevens, vooral voor direct marketing (reclame).
Wat veranderde er voor bedrijven?
Voor bedrijven was de overstap van Wbp naar AVG een schok. De boetes werden dramatisch hoger.
Onder de Wbp was de maximale boete voor een bedrijf nog € 5.000.000.
Onder de AVG kan dit oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dat is een stuk serieuzer en zorgt ervoor dat bedrijven veel voorzichtiger zijn geworden. Een ander groot verschil is de verplichting tot het bijhouden van een register van verwerkingen.
Onder de Wbp was dit alleen verplicht voor grotere organisaties. Onder de AVG moet eigenlijk élke organisatie die persoonsgegevens verwerkt, dit register bijhouden. Of je nu een eenmanszaak bent of een multinational. Dit zorgt voor meer transparantie.
Ook de meldplicht datalekken bestond onder de Wbp, maar de AVG heeft dit verscherpt.
Een datalek moet binnen 72 uur worden gemeld aan de toezichthouder (de Autoriteit Persoonsgegevens). Als het lek een hoog risico heeft voor de mensen wiens gegevens gelekt zijn, moeten zij ook direct worden geïnformeerd. Onder de Wbp was de termijn vaak vaag en was de meldplicht minder streng.
De toezichthouder: Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) was er ook al onder de Wbp, maar hun rol is enorm toegenomen.
De AP mag nu niet alleen optreden als er een klacht komt, maar ze mogen ook actief onderzoeken doen. Ze hebben meer bevoegdheden gekregen om binnen te lopen en gegevens op te vragen.
Het verschil in toestemming
De AP is strenger geworden. Waar ze vroeger misschien nog wel eens een waarschuwing gaven, volgen er nu sneller daadwerkelijke boetes. Denk aan de boetes die zijn uitgedeeld aan bedrijven die zich niet hielden aan de regels voor het gebruik van cookies of het onnodig verzamelen van gegevens. Een van de grootste veranderingen is hoe toestemming wordt gevraagd.
Onder de Wbp was stilzwijgende toestemming soms voldoende. Je wist wel dat je ergens op klikte, maar de regels waren vaag.
- Vrijwillig: Je mag niet gedwongen worden (bijvoorbeeld: “Accepteer cookies of je kunt de site niet zien”).
- Specifiek: Je moet per doel toestemming geven. Je kunt niet in één keer toestemming geven voor alles.
- Ondubbelzinnig: Het moet een actieve handeling zijn. Een vooraf aangevinkt hokje mag niet meer. Jij moet zelf actief klikken.
De AVG eist dat toestemming vrijwillig, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Dat betekent: Daarom zie je nu overal die pop-ups met “Accepteer alle cookies” of “Kies uw voorkeuren”. Dat is direct een gevolg van de AVG en niet meer van de Wbp.
Wat betekent dit voor jou in het dagelijks leven?
Het is makkelijk om te denken: “Het zijn maar regels voor bedrijven.” Maar het raakt jou direct. Stel je voor: je stuurt een e-mail naar een webshop omdat je een verkeerd product hebt ontvangen.
Onder de Wbp had die webshop je e-mailadres en naam gewoon in hun systeem mogen bewaren, vaak zonder dat je het wist. Onder de AVG moeten ze je vertellen hoe lang ze die gegevens bewaren. Ze mogen het niet langer bewaren dan nodig is voor de afhandeling van je klacht.
Of denk aan de zorg. Patiëntgegevens zijn extreem gevoelig.
Onder de Wbp waren er al regels, maar de AVG verplicht zorginstellingen om aan te kunnen tonen dat ze de beveiliging op orde hebben. Ze moeten een risico-analyse maken: wat als deze data lekt? Ook op social media is het verschil merkbaar.
Platforms zoals Facebook en Instagram moesten hun privacy-instellingen aanpassen. Ze moesten duidelijker maken welke gegevens ze verzamelen en waarom.
Onder de Wbp was de informatie vaak verstopt in lange, onleesbare voorwaarden.
De AVG eist dat de informatie begrijpelijk is, op B1-niveau zeg maar.
Conclusie: van vage regels naar duidelijke rechten
Het grootste verschil tussen de Wbp en de AVG is de sfeer. De Wbp voelde als een set regels die vooral bedrijven moesten volgen, met een beetje bescherming voor de burger.
De AVG voelt als een set van rechten die jij als burger actief kunt gebruiken. De Wbp was de basis, maar de AVG is de upgrade voor jouw online privacy. Het is strenger, duidelijker en internationaler.
Het zorgt ervoor dat jij meer controle hebt over je eigen data.
Of het nu gaat om je locatiegegevens, je aankoopgeschiedenis of je medische dossier: je hebt het recht om te weten wat er mee gebeurt. Dus de volgende keer dat je een cookie-banner wegklikt of een sticker bij de supermarkt ziet, weet je dat dit de gevolgen zijn van de overstap van Wbp naar AVG. Het is misschien soms irritant, maar het geeft je wel de touwtjes weer in handen.