Een lezer vroeg me:
Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel geen enkel bedrijfsproces kan nog blijven bestaan. En de boetes zijn enorm. Dit kan toch niet goed gaan, deze wet?
Dat de AVG veel gaat veranderen in de praktijk staat als een paal boven water. Maar veel verhalen die je leest, zijn vooral bedoelt om urgentie (of onaardig gezegd paniek) op te roepen bij de lezer.
De fundamentele principes uit de AVG zijn hetzelfde als uit de Wbp die we nu al een kleine 17 jaar hebben. Er moet een grondslag zijn om met persoonsgegevens te gaan werken, je moet zorgen voor goede beveiliging en mensen moeten hun rechten kunnen halen. Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat). Ook moeten mensen hun hele dossier kunnen opvragen, in plaats van alleen maar inzien.
Natuurlijk zijn er wel verschillen. Zo is het vragen om toestemming moeilijker geworden: dat moet kort gezegd apart van andere vragen en vrijwillig – “geef toestemming of rot op” mag alleen nog als dat vooraf en heel duidelijk gebeurt. De privacyverklaring moet in eenvoudiger taal (taalniveau B2, niet C1 of C2 dat we nu altijd zien). Gegevens zijn nu eerder persoongegeven dan voorheen. En zo kan ik nog wel even doorgaan.
Maar ik zie het vooral als accentuering van het belang van zorgvuldige omgang met persoonsgegevens, iets dat we in het verleden nooit echt hadden omdat er geen boetes op overtreding stonden. Plus: in de VS bestond die zorg om persoonsgegevens nooit, dus de ICT-cultuur heeft nooit zo leren omgaan met persoonsgegevens als ze dat wel heeft met zeg aansprakelijkheid of sluiten van contracten. Het is die cultuuromslag waar nu al deze pas-op-de-wereld-vergaat berichten door komen.
Arnoud
“Gegevens zijn nu eerder persoongegeven dan voorheen.” Echt waar? Ik vond de definitie in de huidige wet beschemring persoonsgegevens al ruim – “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Betekent dit dat we nu ook gegevens over niet-identificeerbare persornen als persoonsgegevens gaan beschouwen? Of gegevens over niet-natuurlijke personen? Ik bedoel, ik ben nu al in overtreding als ik hier schrijf “Mark Rutte is minister-president” (ja, dit blog valt onder de journalistieke uitzondering, maar artikel 8 is bij de journalistieke uitzondering nog steeds kracht, en ik heb hem niet om toestemming gevraagd, en het feit hier noemen is niet noodzakelijk voor mijn betoog), wordt dat in de toekomst ook het geval als ik schrijf “ik heb ooit iemand ontmoet met rood haar” of “Philips bezit een pand in Eindhoven”?
Het zit hem er volgens mij vooral in dat we onder de Wbp altijd focusten op namen. Iemand is pas identificeerbaar als je wist hoe hij heette, en liefst ook pas als je hem kon contacteren. Maar de AVG maakt expliciet dat er meer “identificatoren” kunnen zijn. “Bezoeker 32768” is net zo goed een identifier als “Wim ten Brink”, idem voor jaap@example.com of het MAC-adres van mijn telefoon. Daarom zie ik dit als een verbreding.
Ik zou je voorbeeld wel degelijk legitiem zien onder 8f, het is een bewuste keuze voor een herkenbare naam van een publiek persoon om een voorbeeld kracht bij te zetten. De impact op de privacy van de heer Rutte lijkt me minimaal zo niet afwezig.
Is dat zo? Het CBP had al een handleiding voor het privacy vriendelijk instellen van google analytics: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingprivacyvriendelijkinstellengoogleanalytics_0.pdf Daarin staat dat een IP-adres een persoonsgegeven is, zelfs als het laatste octet verwijderd wordt. Ook onder de Wbp is er dus al heel snel sprake van een persoonsgegeven.
Klopt, maar die conclusie van de AP is onder de Wbp nogal eens bekritiseerd door privacyjuristen. Ik denk dat het wel klopt maar een goed argument is te maken dat het geen persoonsgegeven is behalve als je zelf de koppeling met de gebruiker kunt maken.
In hoeverre valt de naam van een eenmanszaak nu onder persoonsgegevens? En in hoeverre is dat straks het geval?
Dat is zowel nu als straks een persoonsgegeven. Ik denk niet dat specifiek hier dingen veranderen. Het blijft uiteindelijk je vrije keuze om je zaak naar jezelf te noemen, fantasienamen zijn gewoon toegestaan bij eenmanszaken. Dus dat is en blijft een gevalletje vrijwillige toestemming.
En het BTW-nummer van een ZZP’er? Daar zit nu zijn BSN in verwerkt. De BSN is zelfs een bijzonder persoonsgegeven, dat enkel en alleen verwerkt mag worden als de wet dat expliciet vereist.
“Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat).”
Leve de bureaucratie…….
Maar zijn boetes voldoende als b.v. persoonsgegevens worden gelekt? Moet er niet ook een schadevergoeding komen voor iedereen wiens gegevens worden misbruikt of gelekt? Het is prima dat Yahoo, LinkedIn of Adobe een forse boete krijgen als hun systemen weer eens gehackt worden maar het verzorgt wel een enorme toename van spam in mijn mailbox. Iets dat ik kon meten omdat ik voor alle bedrijven een email alias gebruik waarop ik kan filteren. Ik kan mij dus voorstellen dat mensen een financiële compensatie krijgen als hun gegevens dus in verkeerde handen vallen. Misschien een euro als een email adres openbaar is geworden tot 50 euro indien de wachtwoorden zijn gehackt en bezoekers nu hun wachtwoord moeten aanpassen. (Een wachtwoord dat ze vast met meerdere sites delen en dus her en der moeten wijzigen.) en nog grotere vergoedingen naarmate de betreffende gegevens gevoeliger van aard zijn… Maar dat zal er waarschijnlijk nooit komen…
Zoveel zelfs dat het volgens mij zonder de inhuur (of aannemen) van experts op dit vlak eigenlijk nauwelijks te doen is. De wbp was nog wel enigszins te overzien als ‘leek’. Ook zaken als de verplichting tot portabiliteit, hoe ver gaat dat? Er zijn maar weinig echt uitwisselbare diensten, zelfs van de grote emailproviders of verzekeraars kan je – in mijn technische ogen – niet verwachten dat ze dat mogelijk maken.
Bij dit soort wetgeving ben ik ook wel benieuwd welk problemen er mee moesten worden opgelost, of dat dan ook daadwerkelijk gebeurt en of dit echt de beste manier daarvoor was. En of de oplossing niet uiteindelijk erger is dan die problemen. De impact op organisaties van deze wijzigingen lijkt in ieder geval (veel) groter dan die van de ‘cookiewet’. En daarvan is ondertussen ook wel duidelijk dat het weinig tot geen nut heeft gehad.