Plus

Stortvloed aan verzoeken en boetes dreigt met nieuwe privacywet

Vanaf 25 mei wordt de privacywetgeving veranderd. Maar er is een keerzijde aan de nieuwe regels: iedereen krijgt een wapen om onwelgevallige bedrijven te sarren.  En dat kan ons allen geld kosten.

Beeld Yoko Heiligers

'Vergeet niet aan te geven of we je mogen blijven mailen,' smeekt Paradiso. 'Een update over de beveiliging van je account,' doet Twitter al heel wat neutraler. Of Google met het slaapverwekkende 'Data processing terms for the General Data Protection Regulation available for review'. Plots duiken in de mailbox allerhande waarschuwingen, verzoeken en zelfs smeekbedes op om opnieuw toestemming te geven voor nieuwsbrieven, netwerken en abonnementen waarvan je niet meer wist dat je ze had.

Loopje
Over twee weken worden nieuwe privacyregels van kracht. Websites, bedrijven, de dokter, de school van de kinderen, de baas, de voetbalclub, The Voice of Holland - iedereen moet er straks aan voldoen. En dus wordt nu massaal gevraagd of al die aandachtstrekkers je persoonsgegevens mogen blijven verwerken.

Maar buiten al die verzoeken lijkt er voor ons internetters niet veel aan de hand. De meeste regels in de nieuwe AVG (Algemene verordening gegevensbescherming die gemaakt is op basis van de privacywetgeving van de EU) golden toch al. Alleen krijgen we meer kans om bedrijven die er een loopje mee nemen, aan te pakken.

En daar zit de angst bij de 'bewaarders'. Die vrezen een tsunami aan inzageverzoeken en vergeetopdrachten.

De nieuwe regels geven ons een machtig wapen om bedrijven, instellingen, overheden en clubs de maat te nemen als het om privacy­overtredingen gaat.

Maar dat betekent dat ook vasthoudende querulanten, ontevreden klanten, gefrustreerde werknemers, boze partners of gebruuskeerde clubleden straks ieder spleetje in een privacymuur aangrijpen om zich te beklagen.

20 miljoen
Ict-jurist Arnoud Engelfriet is niet zo bang voor pesterijen. "Je kan een ondernemer in problemen brengen met heel veel informatieverzoeken. Dat hebben we ook gezien bij WOB-procedures. Maar al vraagt een gebruiker elke week zijn gegevens op; als dat een probleem voor een bedrijf is, dan voldoet dat blijkbaar niet erg aan de normen in de AVG. Want dan heb je die gegevens zonder problemen telkens klaarliggen."

Toch zal een kleine zelfstandige of de voetbalclub er niet op zitten te wachten. "Ik neem toch aan dat een loodgieter zijn klanten redelijk kent," zegt Engelfriet. "Het wordt pas een probleem als hij tienduizend mensen in zijn bestand heeft staan. Maar welke loodgieter heeft een database nodig met zo veel mensen?"

Vooral de boete voor privacyschendingen die in de nieuwe regels nu eindelijk is vastgelegd, jaagt ondernemers schrik aan. Toezichthouder Autoriteit Persoonsgegevens kan onverlaten een geldstraf tot 20 miljoen euro of tot 4 procent van de jaaromzet opleggen.

En er is geen overgangsperiode, waarschuwt Sandra Loois van Autoriteit Persoonsgegevens beslist. "De afgelopen twee jaar was de overgangsperiode. Vanaf 25 mei houden we direct toezicht."

Schrobbering
Dat betekent vanaf dag één de kans op een tik op de vingers, schrobberingen en boetes. "In principe zullen we alle overtredingen van de nieuwe regels aanpakken. Maar we kunnen niet overal tegelijk zijn," zegt Loois.

"We zijn er ook niet op uit om elke sportvereniging of webwinkel meteen aan te pakken. We kunnen ook waarschuwen." Dat hangt wel af van het soort gegevens. Bij missers met financiële of medische gegevens zal de toezichthouder eerder streng en rechtvaardig zijn.

20 miljoen

Bij privacyschendingen kan de Autoriteit Persoonsgevens boetes tot 20 miljoen euro of tot 4 procent van de jaaromzet opleggen.

Privacyadvocaat Vita Zwaan van Bureau Brandeis betwijfelt of de toezichthouder al dat extra werk wel aankan. "De Autoriteit zal het knap lastig krijgen met alle klachten en procedures die straks op de dienst afkomen."

Weinig houvast
Nu al ligt het aantal privacyverzoeken er drie keer zo hoog als vorig jaar, terwijl de nieuwe regels nog niet eens gelden. En ondanks een flinke groei in het personeelsbestand is dat nog niet de helft van wat de waakhond nodig acht om afdoende toezicht te kunnen houden.

Stiekem hoopt de advocaat op rechtszaken - en dus jurisprudentie - tegen berispingen en boetes. "Bedrijven hebben nu heel weinig houvast aan deze voorschriften, behalve van de partij die er toezicht op houdt. Er zitten veel open normen in de nieuwe AVG. Het is heel belangrijk dat de nieuwe regels onafhankelijk worden beoordeeld door een rechter."

Maar rechtszaken - zeker als ze jurisprudentie moeten opleveren - en boetes kosten veel geld. Geld dat bedrijven, instellingen en overheden zonder meer zullen omslaan over hun klanten, leden, burgers of werknemers.

En zo betalen we onze privacybescherming uiteindelijk zelf.

Geen regels voor de data-slons

Waar bedrijven - van multinational tot zzp'er -­allerlei voorschriften voor de kiezen krijgen, ­stellen de nieuwe regels geen eisen aan particuliere gebruikers om hun gegevens te beschermen.

Elke privacy-slons kan ook straks nog als een ­datafontein zijn gegevens over internet blijven sproeien. Maar zodra een bedrijf, instelling, overheidsorgaan of vereniging daar ook maar iets mee doet, dan kan diezelfde sloddervos ze aanpakken.

"Bedrijven hebben twintig jaar kunnen profiteren van alle onduidelijkheden in de privacyregels en het gebrek aan maatregelen om overtredingen te bestraffen," zegt ict-jurist Arnoud Engelfriet.

"Het is dus logisch dat er niks in de nieuwe regels staat die consumenten ergens aan verplichten. Dat zou bedrijven weer een wapen geven om het voor de gewone man allemaal heel moeilijk te maken."

Weghaalverzoeken
'Bewaarders' van persoonsgegevens moeten straks nauwkeurig aangeven waar ze informatie vandaan hebben en waarom ze die bewaren. "Ook al laat iemand overal persoonsgegevens achter," zegt privacy-­advocaat Vita Zwaan. "Dan mogen die toch niet zomaar worden opgepikt en bewaard. Internet en sociale media zijn geen vrijplaatsen waar je met alle informatie iets mag doen."

Dat bedrijven zich nu op moeten maken voor een golf weghaalverzoeken ­- en eventuele klachtenzaken - betwijfelt ze. "Er moet wel een grondslag zijn om gegevens te verwijderen."

"Expliciete toestemming van een gebruiker is maar één van de zes gronden waarop persoonsgegevens mogen worden opgeslagen en gebruikt. Een arts moet wel over de medische gegevens kunnen beschikken om een goed oordeel uit te voeren. En een dagblad zal toch over adresgegevens moeten beschikken om de krant te bezorgen. Als je daar bezwaar tegen zou maken, dan is de kans groot dat het wordt afgewezen."

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden