Tussenbalans na 1 jaar AVG: regels werken alleen als ze leven
25/05 2019
Exact een jaar geleden klonk er veel tromgeroffel: de Algemene verordening gegevensbescherming (AVG) ging van alles op het internet veranderen. Maar is dat ook zo? Tijd voor een tussenbalans.
Intense lobbystrijdDe nieuwe privacyregels zoals vastgelegd in de AVG zijn de uitkomst van misschien wel de meest belobbiede wetgeving uit Brussel. De regels zijn dan ook niet perfect. Ondanks een intense campagne vanuit het bedrijfsleven om de regels af te zwakken, zijn belangrijke basisprincipes om onze gegevens te beschermen gelukkig overeind gebleven. Ook zijn de mogelijkheden voor de privacytoezichthouders om handhavend op te treden uitgebreid, zoals de veelbesproken mogelijkheid om boetes op te leggen.
Internationale standaard van betekenis?Europa heeft met de AVG internationaal de standaard gezet hoe bedrijven en overheden met onze persoonsgegevens moeten omgaan. Dat is op zich al winst. Maar de waarde van de AVG voor goede privacybescherming valt of staat bij de toepassing ervan. Zolang die niet op orde is, lijken alle regels op papier wel mooi, maar merken we er in de praktijk weinig van. Op dat vlak valt nog heel veel te verbeteren.
\`Er is sprake van toestemmingsinflatie. Hoe meer we worden gestuurd en gedwongen om maar overal mee ‘akkoord’ te gaan, hoe beperkter de waarde is van de verkregen toestemming.\`
Privacybescherming gereduceerd tot checklistHet risico is levensgroot dat de rechten en verplichtingen uit de AVG teruggebracht worden tot een administratieve checklist. Als die lijst is afgewerkt kan een organisatie de indruk wekken dat ze ‘compliant’ is – de term die wordt gebruikt als iemand voldoet aan alle regeltjes. Maar dit is dan vaak een papieren werkelijkheid.
Dit zie je bijvoorbeeld terug bij de trend om voor alles en nog wat ‘toestemming’ te vragen, of vaker nog, via opdringerige popups af te dwingen. Je wordt via bewuste ontwerpkeuzes verleid om snel op ‘akkoord’ te klikken en niet te veel stil te staan bij de gevolgen. Waar je precies mee akkoord gaat is onduidelijk. En vaak heb je geen andere keus dan maar met alles in te stemmen. Want als het vinkje eenmaal is gezet, lijkt de buit binnen.
Doembeelden onterechtZelfbenoemde AVG-experts schetsten het afgelopen jaar regelmatig een doembeeld. Vrijwel niets zou meer mogelijk zijn onder de nieuwe privacyregels en iedereen moest vrezen voor torenhoge boetes. Vooral voor de mensen die geen advies of andere diensten van hen afnamen, was de impliciete boodschap. Het mag duidelijk zijn dat dit doembeeld onterecht is gebleken. Met common sense en de juiste intenties is het voor veel organisaties geen probleem om integer met persoonsgegevens om te gaan en volgens de principes uit de AVG te handelen.
ExcessenHet is een ander verhaal voor bedrijven voor wie de aandacht en gegevens van gebruikers de grondstof zijn voor hun verdienmodel. Dit lijdt vrijwel altijd tot excessen die lijnrecht ingaan tegen basisprincipes uit de AVG die een goede bescherming van onze gegevens moeten garanderen. Betekent dit dat deze excessen nu verleden tijd zijn met de nieuwe privacyregels? Nou nee, tot nu toe nog niet. Om een voorbeeld te noemen: het massaal weglekken van persoonsgegevens bij de online flitshandel in advertenties via real time bidding. Bij het bezoeken van een website die deze methode toepast, lekt er in enkele milliseconden allerlei informatie over je weg naar honderden bedrijven zonder dat je hier goed zicht op hebt of controle over hebt.
Op meerdere punten gaat deze praktijk lijnrecht tegen de basisprincipes van de AVG in. Maar toch gaat deze praktijk tot nu toe vrolijk door. Daarom dienden we afgelopen maandag een klacht in bij de privacytoezichthouder, de Autoriteit Persoonsgegevens, met het verzoek om in te grijpen.
Hoopgevende signalenHet is gelukkig niet allemaal doom and gloom. Na een langzame start beginnen de privacywaakhonden in Europa langzaam wakker te worden. De Franse toezichthouder deelde na klachten van gebruikers een eerste tik uit aan Google omdat het onvoldoende duidelijk maakt waarmee gebruikers akkoord gaan. De Nederlandse toezichthouder nam begin dit jaar positie in tegen de beruchte cookiewalls. En de Ierse toezichthouder kondigde deze week aan een onderzoek te starten naar de rol van Google bij real time bidding. Dit onderzoek is gestart naar aanleiding van een klacht in Ierland die onderdeel uitmaakt van een serie klachten in het Verenigd Koninkrijk, Polen, België, Luxemburg, Spanje en, door ons, in Nederland. Hun tanden hebben ze nog niet echt laten zien, maar deze ontwikkelingen zijn zeker hoopgevend.
We zien ook dat steeds meer mensen gebruik maken van hun rechten om meer grip te krijgen op hun gegevens. Bijvoorbeeld door inzage te eisen in de persoonsgegevens die over ze worden verzameld en met wie ze worden gedeeld. Sinds wij onze tool My Data Done Right zeven maanden geleden lanceerden hebben ruim 17.000 mensen een verzoek opgesteld. En dan moet My Data Done Right in samenwerking met andere organisaties nog uitgerold gaan worden in andere landen in Europa.