Opinie Bewaar

'Laat je niet opjagen door privacyophef'

Drukte genoeg om de nieuwe regels, maar bijna niemand is echt klaar voor de Algemene Verordening Persoonsgegevens
Drukte genoeg om de nieuwe regels, maar bijna niemand is echt klaar voor de Algemene Verordening Persoonsgegevens © Getty Images

Alle opwinding over de nieuwe Europese privacyregels komt volgens hoogleraar Nico van Eijk neer op stemmingmakerij. Op 25 mei ziet hij bar weinig veranderen.

Nog anderhalve week en dan is het 25 mei. Dan worden de 'nieuwe' Europese privacy­regels van kracht, een moeilijk te doorgronden kluwen van
99 artikelen voorafgegaan door 173 overwegingen.

Iedere dag worden we bestookt met berichten over de mogelijke consequenties. Burgers krijgen nieuwe rechten en aan organisaties (bedrijven, overheden, verenigingen, et cetera) worden nieuwe verplichtingen opgelegd. Wordt niet voldaan aan de regels, dan komen er torenhoge boetes!

Dit beeld is niet juist en onnodige stemmingmakerij. De nieuwe rechten die burgers krijgen verschillen niet veel van de rechten die ze al hebben.

Ook nu is vaak voorafgaande toestemming vereist om persoonsgegevens te gebruiken (maar u en ik hebben wel wat anders te doen dan paginalange gebruikersvoorwaarden te lezen).

Idem is er al een recht op inzage, bezwaar en rectificatie. Het was en blijft verboden dat belangrijke beslissingen over personen alleen door 'algoritmes' of computers worden genomen.

En ja, bepalingen over een 'recht op vergetelheid' waren er nog niet, maar dat recht bestond al op grond van eerdere beslissingen van Europese en nationale rechters.

Persoonsgegevens zijn zo belangrijk omdat ze een steeds grotere rol spelen in verdienmodellen

Het recht op 'dataportabiliteit' dat het mogelijk maakt om je gegevens van de ene aanbieder naar een andere mee te nemen, is min of meer een nieuw recht, maar de vraag is of het veel gaat voorstellen, al was het maar omdat niet bij voorbaat duidelijk is om wiens gegevens het gaat: zijn 'vrienden' ermee akkoord dat hun adres- en persoonlijke gegevens opeens bij een andere organisatie terechtkomen?

Theoretische boetes
Voor organisaties wordt er de nodige nieuwe bureaucratie geïntroduceerd. Met name grotere organisaties of organisaties waar grotere risico's worden gelopen behoren een Functionaris voor de Gegevensbescherming (FG) aan te stellen en een zogenoemde Data Protection Impact Assessment (DPIA) te maken.

De schrik zit er bij sommige organisaties goed in, al was het maar vanwege de vele privacyadviseurs die hen voorhouden dat er een boete dreigt van maximaal 20 miljoen of 4 procent van de jaaromzet. Dat soort astronomische boetes zijn in belangrijke mate theoretisch. Boetes worden bepaald door de aard en ernst van de overtreding. ­

Rechters zullen erop toezien dat boetes proportioneel zijn. Omdat volgens allerlei berichten niemand klaar is voor de nieuwe regels - organisaties niet, de toezichthouders evenmin - is te betwijfelen dat de wereld er op 26 mei ineens anders uit ziet.

Het is ook maar de vraag of de nieuwe regels echt gaan helpen. De problemen liggen vaak elders. Wanneer je identiteit is gestolen en wordt gebruikt om de bankrekening te plunderen, dan zijn zorgen over privacy minder belangrijk dan dat het geld weer terugkomt. Hetzelfde geldt wanneer je via 'personal targeting' wordt misleid om producten te komen die je helemaal niet wilt.

De producten hadden je niet moeten worden aangeboden. Eigenlijk hebben we het dan over consumentenbescherming als echt probleem.

Of om het anders te formuleren: de voornaamste reden waarom persoonsgegevens zo belangrijk zijn, is omdat ze een steeds grotere rol spelen in het verdienmodel van organisaties.

Verbeter het gedrag
Hier ligt de kern van het probleem en de oplossing. In plaats van nog meer regels moeten organisaties hun gedrag verbeteren en de consequenties aanvaarden van het (laten) misleiden van burgers.

Zo hebben banken al betere waarborgen aangebracht en nemen ze meer verantwoordelijkheid. Misleidende advertenties worden strenger aangepakt.

Maar we zijn er nog niet, menig dilemma resteert. Om een voorbeeld te geven: wordt een klantenkaart gebruikt om meer producten te verkopen of heeft een winkel ook de verantwoordelijk om in actie te komen wanneer aannemelijk is dat de klant een 'gevaar' voor zichzelf aan het worden is (aankoop medicijnen, tabak, alcohol, eindeloze aankopen bij een webwinkel)?

Het is onvermijdelijk dat toezicht en hand­having nog meer gaan inzetten op gedragsveranderingen bij organisaties en op het wegnemen van het onterecht genoten economisch voordeel. Dat vraagt meer dan een Algemene Verordening Persoonsgegevens (AVG) en een Autoriteit Persoonsgegevens.

Nico van Eijk is woensdagavond te gast tijdens de maandelijkse Talk of the Town in Pakhuis de Zwijger, thema: AVG Proof in Amsterdam: is de stad klaar voor de AVG? Pakhuis De Zwijger, 20.00 uur.