“Het probleem is niet databescherming, maar dataverzameling.”

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het argument lijkt hem te zitten in dat het “prima is om data te verzamelen, dat het geen gevaar oplevert en dat het normaal is om iedereen te bespioneren, zolang die data maar niet uitlekt en je er zelf de controle over hebt.” Daarmee is de AVG kennelijk geen effectieve barrière tegen de grote techbedrijven: die doen wat ze willen en gooien er gewoon nieuwe braaftaal tegenaan – “We value your privacy” wordt “We respect your GDPR rights and we fully comply” en dat was het dan. Tsja.

De AVG is natuurlijk in eerste instantie een enorme stapel papier (99 artikelen) waar je als bedrijf maar wat van moet maken. Zowat alle aspecten van dataverzamelen en -gebruiken worden gereguleerd; je moet compliance kunnen aantonen, grondslagen onderbouwen, toezicht houden, security dichttimmeren en ga zo maar door. De normen zijn open en de boetes zijn hoog, althans op papier.

En daar wringt hem de schoen – heel veel papier is de AVG, maar (nog?) maar heel weinig daadwerkelijke handhaving. En dat voelt heel dubbel: overal zie en merk je dat mensen de AVG serieus proberen te nemen, maar tegelijk gebeurt er weinig tegen zij die dat niet doen. Links word je doodgegooid met toestemmingsformulieren (ahh ahh ahh de horreur) die nergens voor nodig zijn, en rechts wordt je gehele doopceel integraal verkocht aan malafide marketeers of erger nog semi-overheden.

Natuurlijk kun je dan heel spitsvondig zeggen dat het hem zit in de naam. “Data protection” impliceert dat je alles mag mits je het maar goed beschermt, en het moet gaan om of je überhaupt data mág verwerken. Die vondst klopt niet: het gaat om de bescherming van data in de zin van réchten op die data, mijn data moet veilig zijn als een bedrijf er wat mee doet. Dat is niet hetzelfde als “alles mag als je het veilig doet”, wat ook in artikel 5 AVG staat: alles moet rechtmatig zijn. Oh ja én moet voldoen aan dataminimalisatie, oftewel niet meer verzamelen dan nodig is voor je rechtmatige doel, dat je ook nog eens vooraf gemeld hebt en op papier uitgewerkt.

Uiteindelijk heeft Snowden wel gelijk als het gaat om de handhaving. Wetten die niet worden gehandhaafd zijn betekenisloos, of het nu de AVG is of het artikel over door rood rechtsaf fietsen uit de Wegenverkeerswet. Waarom die handhaving zo langzaam gaat, weet ik niet precies. Voor een deel zal het de complexiteit van de verwerking zijn, kom ermaar eens écht achter wat Facebook en consorten doet. En je wilt ook geen fouten maken want je weet dat je dan een rechtszaak tegen je krijgt. En het is politiek gevoelig, zo’n boetebesluit. Maar onderaan de streep blijft dan wel het probleem dat die wet met voeten getreden blijft.

Arnoud

6 reacties

  1. Wat mogelijk een oplossing kan zijn is als datavergaarders naast een door de accountant goedgekeurde jaarrekening ook een door de data-accountant goedgekeurde “dataverantwoording” moet overleggen, waarbij de data-accountant volledige toegang tot alle systemen moet hebben.

    Laten we er verder voor zorgen dat overbodige persoonsgegevens een toxic asset worden, zodat bedrijven ze niet meer willen hebben als ze niet echt nodig zijn.

    1. Ja, personal data is the new oil – maar dan wel smeerolie: een goed lopende organisatie kan niet zonder, maar met te veel draait het niet efficiënt en ben je alleen maar aan het vervuilen. En eenmaal gebruikt kost het geld om er op een goede manier vanaf te komen.

    1. Inderdaad. Noem het maar niets, ruim 406M€ waarvan 90% in het laatste half jaar (voor een mooi overzicht, zie de GDPR enforcement tracker).

      Het begint juist lekker op gang te komen. En op allerlei vlak: overtreders van multinationals tot vertaalbureautjes met zes man personeel, van kerk en stichting-zonder-winstoogmerk tot burgemeester en bank; bedragen van een paar honderd euro tot honderden miljoenen; voor zaken van verwijtbare datalekken tot het niet informeren van burgers dat je hun publieke data harvest.

      En vlak de ‘private handhaving’ via schadeclaims niet uit. Ook dat heeft even opstarttijd nodig, maar zal straks onstuitbaar blijken.

  2. Dataverzameling zou ook niet erg moeten zijn. Buiten dat of op papier of digitaal , zelfs met terugwerkende kracht digitaliseren van Archieven enz. Dat blijft en kan men nooit tegenhouden. Waarom niet het werkelijk probleem een keer durven aanpakken. Namelijk dat wat er met al die data gedaan wordt en mag worden. Hier streng op controleren met random steekproeven enz. Het is namelijk belangrijk bijvoorbeeld dat niemand positief of negatief slachtoffer gaat worden van vormen van datadiscriminatie of reeds is. Dit kan tot tig jaren terug gaan waar het info gezondheid en co betreft , verzameld waar je ooit geboren was , daar komen ineens cijfers met enge ziektes naar boven en hup je verzekering of onmogelijk of veel duurder enz enz. Dan kan en mag men namelijk alles verzamelen en er werkelijk veel goeds mee doen. In bovenstaand voorbeeld eerder en mogelijk preventief kunnen handelen en de personen opsporen en inlichten , zo ook ander locaties kunnen vinden met gelijkende omstandigheden en mogelijk andere voor zijn.

    Moet wel een strenge controle en daadwerkelijk handhaving met huizenhoge boetes zijn dat misbruik niet lonend kan zijn!

    Echt het enige is gewoon regelen dat niemand ( bedoel niet criminelen en co) een nadeel of voordeel uit verzameling verwerking van dat ten op zicht van de rest meer mag en zou kunnen hebben, is heel veel problemen uit de wereld EU bedoel ik ( de rest zie ik zo nog niet zitten) .

    Zo ook mogelijk gelijk een veiligheids vraagstuk wegens privacy opgelost. ( als niemand een nadeel of voordeel meer kan hebben in zulke situaties, en daadwerkelijk hierdoor bijv criminelen eerder opvallen en de niet crimineel zijn juist eerder en sneller niet op verdachten lijstje enz, dan hier ook minder fouten hoop ik )

    Andere landen als China en co kan ik niet over oordelen, heb het echt over EU.

  3. Sorry vergeten een ieder moet dan natuurlijk wel recht op inzage overal op alle eigen data hebben en recht op correctie en kunnen verbieden gebruik voor e.a. ( dus de data wat er mee mag en wat er zo allemaal is in werkelijke handen / controle van de personen zelf)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.