Wettelijke vereisten voor leeftijdsgebonden producten
Ontdek de wettelijke vereisten en best practices voor leeftijdsverificatie bij de online verkoop van producten in Europa.
De Algemene Verordening Gegevensbescherming (AVG, in het Engels: GDPR) is sinds 25 mei 2018 van kracht binnen de Europese Unie. Het belangrijkste doel van de verordening was om de bescherming van de persoonsgegevens van EU-burgers te versterken, de wetgeving aan te passen aan de snel evoluerende digitale realiteit en de regels voor gegevensbescherming in de hele Unie te harmoniseren. Nu, zes jaar later, is het mogelijk om te beoordelen welke impact de verordening heeft gehad, welke uitdagingen zich hebben voorgedaan en wat de vooruitzichten voor de toekomst zijn.
📷 titelafbeelding: Shutterstock/Buravleva stock
De AVG heeft het bewustzijn van EU-burgers over hun rechten op het gebied van gegevensbescherming aanzienlijk vergroot. Belangrijke rechten zoals het recht op toegang, het recht op gegevensportabiliteit en het recht op het wissen van persoonsgegevens (ook bekend als het 'recht om vergeten te worden') zijn nu stevig verankerd en worden steeds vaker gebruikt. Als gevolg hiervan hebben EU-burgers meer controle over hun persoonlijke gegevens en kunnen ze beter begrijpen hoe deze worden verwerkt en gebruikt.
De AVG heeft bedrijven die actief zijn in de EU gedwongen om transparanter te zijn bij het verwerken van persoonlijke gegevens. Verantwoordelijken voor gegevensverwerking moeten ervoor zorgen dat gebruikers gedetailleerd worden geïnformeerd over het doel van de gegevensverzameling, de duur van de gegevensopslag en hun rechten als betrokkenen. Hierdoor krijgen gebruikers een beter inzicht in de verwerking van hun persoonlijke gegevens en kunnen ze beter geïnformeerde beslissingen nemen.
Een belangrijk kenmerk van de AVG zijn de hoge boetes voor overtredingen. Bedrijven die de regelgeving overtreden, kunnen boetes krijgen tot € 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Deze strenge sancties hebben ertoe bijgedragen dat bedrijven gegevensbescherming serieus nemen en hun compliance-inspanningen opvoeren. Prominente gevallen, zoals de hoge boetes voor Google en Facebook, laten zien dat de toezichthoudende autoriteiten bereid zijn om consequent op te treden bij overtredingen van de AVG.
Vóór de AVG was er een groot aantal verschillende wetten voor gegevensbescherming in de EU, wat grensoverschrijdend gegevensverkeer en samenwerking bemoeilijkte. De AVG heeft een gestandaardiseerd wettelijk kader gecreëerd dat dit veel gemakkelijker maakt. Bedrijven hoeven zich niet langer aan te passen aan een veelheid van nationale regels, maar kunnen vertrouwen op een uniforme standaard.
Veel kleine en middelgrote bedrijven worstelen met de complexiteit van de AVG en de bijbehorende kosten. De vereisten voor documentatie en bewijs van naleving zijn vaak moeilijk na te leven, vooral voor bedrijven die niet over de nodige middelen beschikken. Dit heeft ertoe geleid dat veel bedrijven overweldigd zijn en vormt een belemmering voor de volledige implementatie van de regelgeving.
Hoewel de AVG in strenge sancties voorziet, is de handhaving niet altijd effectief. Veel nationale gegevensbeschermingsautoriteiten beschikken niet over voldoende personeel of financiële middelen om alle overtredingen uitgebreid en consequent te vervolgen. Dit kan op zijn beurt leiden tot ongelijkheden in de handhaving van sancties in de verschillende lidstaten.
Een vaak genoemd probleem zijn de ellenlange informatieclausules die bedrijven bij “elke gelegenheid” moeten opnemen, maar die niemand leest, behalve advocaten op het gebied van gegevensbescherming. Helaas blijkt de vermeende informatiefunctie soms een illusie te zijn. Volgens sommige vertegenwoordigers van bedrijven dragen clausules in deze vorm niet bij aan de bewustwording van de betrokkenen. Dit verandert alleen als er een geschil of klacht van de betrokken persoon is. Dan wordt deze inhoud daadwerkelijk gebruikt om de functionaris voor gegevensbescherming ter verantwoording te roepen. Sommige bedrijven eisen daarom dat de plicht van de voor de verwerking verantwoordelijke niet is om bij elke gelegenheid een “muur van tekst” te publiceren, maar om betrokkenen een eenvoudige en permanente manier te bieden om toegang te krijgen tot deze informatie wanneer ze die daadwerkelijk nodig hebben of erom vragen.
In totaal 2.177 overtredingen en boetes van in totaal bijna 4,5 miljard euro* - dat is het zesjarige record van AVG-overtredingen in de EU volgens een analyse van advocatenkantoor CMS op basis van gegevens uit de GDPR Enforcement Tracker-database.
In totaal werden 26 overtredingen* vastgesteld bij Nederlandse bedrijven, die werden bestraft met boetes van in totaal 25,5 miljoen euro*. De grootste overtreding: Uber (Uber Technologies Inc. Uber B.V.) kreeg een boete van 10 miljoen euro voor overtreden privacyregels*.
Verreweg de koploper in de EU wat betreft AVG-overtredingen is Meta. Het bedrijf was goed voor zes van de tien hoogste boetes - vier voor Meta, één voor Facebook en één voor WhatsApp. In 2023 kostte de zwaarste overtreding Meta 1,2 miljard euro vanwege een ontoereikende rechtsgrondslag voor gegevensverwerking.
Maar ook andere grote bedrijven zijn al bestraft: in 2021 moest Amazon 746 miljoen euro betalen aan de gegevensbeschermingsautoriteit in Luxemburg. In hetzelfde jaar werd Google twee keer bestraft voor het niet naleven van de algemene beginselen van gegevensverwerking, met boetes van in totaal 150 miljoen euro. TikTok moest in 2023 ongeveer 345 miljoen euro betalen voor vergelijkbare schendingen van de AVG.
Met 651* gevallen sinds 2018 en boetes van in totaal 1,65 miljard euro* is de meest voorkomende oorzaak van boetes een ontoereikende rechtsgrondslag voor gegevensverwerking, op de voet gevolgd door niet-naleving van de algemene beginselen van gegevensverwerking met 614* gevallen en totale kosten van 2 miljard euro*.
*Deze cijfers zijn van 27 augustus 2024, via www.enforcementtracker.com.
De snelle ontwikkeling van nieuwe technologieën stelt de AVG voor nieuwe uitdagingen. Kunstmatige intelligentie, cyberbeveiliging, big data en het internet of things roepen vragen op die niet altijd duidelijk worden beantwoord door de AVG. Om gelijke trend te houden met de technologische vooruitgang, zullen nieuwe richtlijnen van toezichthoudende instanties voor gegevensbescherming en nieuwe EU-verordeningen deze kwesties in de toekomst beter moeten aanpakken.
Internationale samenwerking op het gebied van gegevensbescherming is essentieel voor een doeltreffend en vooral veilig grensoverschrijdend gegevensverkeer. Daarom streeft de EU steeds vaker naar overeenkomsten met derde landen om een vergelijkbare norm voor gegevensbescherming te bevorderen en de grensoverschrijdende doorgifte van gegevens te vergemakkelijken en tegelijkertijd een betere bescherming te bieden. Dergelijke overeenkomsten moeten ervoor zorgen dat persoonsgegevens ook buiten de EU adequaat worden beschermd. In juli 2023 heeft de Europese Commissie een langverwacht adequaatheidsbesluit genomen voor het EU-VS-kader voor gegevensbescherming (EU-VS Data Privacy Framework). Hierin is bepaald dat de Verenigde Staten een passend beschermingsniveau - vergelijkbaar met dat van de Europese Unie - zullen waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven aan Amerikaanse bedrijven binnen het nieuw gedefinieerde kader.
Om het voor kleine en middelgrote ondernemingen gemakkelijker te maken om aan de AVG te voldoen, zouden extra ondersteuning en bewustmakingsmaatregelen door de toezichthoudende autoriteiten voor gegevensbescherming en sectorspecifieke brancheverenigingen nuttig zijn. Naast speciale opleidingen zou dit ook de ontwikkeling kunnen inhouden van kosteneffectieve nalevingshulpmiddelen die zijn afgestemd op de behoeften van kleinere bedrijven.
Zes jaar na haar inwerkingtreding heeft de AVG het landschap van de gegevensbescherming in Europa en daarbuiten blijvend veranderd. Het heeft de rechten van consumenten versterkt, bijgedragen aan een grotere transparantie en ervoor gezorgd dat bedrijven gegevensbescherming serieus nemen door middel van hoge sancties. Ondanks deze successen blijven er uitdagingen, met name op het gebied van complexe regelgeving, handhaving en aanpassing aan nieuwe technologieën en de steeds veranderende digitale wereld. Door internationale samenwerking en gerichte steun voor kleine en middelgrote ondernemingen kan de AVG een effectief instrument blijven voor de bescherming van gegevensrechten in een steeds meer gedigitaliseerde wereld.
Ontdek de wettelijke vereisten en best practices voor leeftijdsverificatie bij de online verkoop van producten in Europa.
Ook in dit jaar biedt elke maand weer andere kansen. Vandaar dat we hierbij een overzicht geven van de verkoopmomenten.