De bescherming door de AVG, de nieuwe Europese privacy-verordening, komt te laat en doet te weinig. En toch gaan we erop vooruit, analyseert Huib Modderkolk.
...Nu is er de AVG. En nee, de verordening zal er niet voor zorgen dat mensen hun smartphone minder gaan gebruiken. Dat ze stoppen met Google of hun locatievoorzieningen eens wat vaker uitzetten. Dat ze Wehkamp gaan vragen welke profielen er eigenlijk allemaal van ze bestaan, of Ahold in welke categorie boodschapper ze eigenlijk vallen. Noch zal de verordening een einde maken aan het verhullende taalgebruik van bedrijven die naar uw persoonsgegevens hengelen. De kracht van de AVG zit ergens anders.
Allereerst krijgen we een beetje controle terug. Een handrem voor als het te snel gaat. Een mogelijkheid om inzicht te eisen in profielen. Om data op te eisen. En om bedrijven te beboeten die niet goed met onze gegevens omgaan. Die boetes kunnen oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet (bij het moederbedrijf van Google, Alphabet, kan het om ruim 4 miljard euro gaan). Er staat weer iets op het spel.
Dus elke keer als u de komende tijd een mailtje krijgt van een bedrijf, kunt u zuchten. Of u kunt eraan denken dat er weer een bedrijf is dat het net wat beter voor elkaar heeft. Maar misschien nog wel belangrijker: de AVG maakt een einde aan de vrijblijvendheid, de achteloosheid en het kortetermijndenken. We zullen meer over privacy gaan discussiëren. We zullen langer nadenken voordat we ergens op klikken. En dat alleen al mag winst heten.
Jarenlang raakten we met reuzesprongen steeds meer van onze privacy kwijt. Anno 2018 weten grote computerbedrijven wat we doen, wie we kennen, wat we kopen, waar we van houden, op wie we verliefd zijn, waar we last van hebben en ja, zelfs wat we denken. Adverteerders kennen ons beter dan onze beste vrienden, beter dan onze eigen partner, misschien zelfs beter dan we onszelf kennen.
Al die kennis kunnen bedrijven niet alleen gebruiken voor commercieel gewin. De platforms van deze internetgiganten kunnen bovendien kinderlijk eenvoudig worden misbruikt door kwaadwillende organisaties, zo bleek de afgelopen maand uit verschillende schandalen rondom Facebook.
...als samenleving zijn we de afgelopen jaren behoorlijk in slaap gesust als het gaat om de vertrouwelijkheid van onze gegevens. Natuurlijk, af en toe was er in de media aandacht voor grootschalige privacyschendingen. Maar dan hadden we het er een dag over, een enkeling plakte z'n webcam vervolgens demonstratief af, en verder ging iedereen gewoon weer z'n gangetje.
...neem onze eigen minister-president. Die heeft bepaald geen behoefte aan een grondige discussie over privacy, zo lijkt het. In de aanloop naar het Wiv-referendum speelde zijn regering tot enkele dagen voor de volksraadpleging vooral verstoppertje. Toen een meerderheid van de Nederlanders onverwachts tegen de wet stemde, wist hij niet hoe snel hij met een wat cosmetische veranderingen moest komen – dat zou de discussie hopelijk verstommen.
Laten we hopen dat het deze keer anders is. Dat we wérkelijk een discussie krijgen over de vraag in wat voor wereld we willen dat onze kinderen opgroeien. Een discussie die bovendien verder gaat dan een enkele wet of de waan van de dag. Want privacy is te belangrijk om alleen bij schandalen te bespreken.
Je hoort wel eens beweren dat privacy dood is, maar op de begrafenis is het dan toch maar een levendige drukte – en daar zijn goede redenen voor.
Lezers reageerden met stevige vragen op mijn rubriek van vorige week over privacy, waarin de marketingmanager en de digitale uitgever van NRC Media onderstreepten dat het bedrijf er behoedzaam mee omgaat. Het schandaal rond Facebook heeft die zaak midden in de publieke belangstelling gebracht.
Hamvraag van een lezer: leuk, ombudsman, maar wat doen al die cookies van nrc.nl dan eigenlijk op mijn machine?
Allereerst, één abonnee betwijfelde of NRC Media wel zo braaf is als ik schreef omdat in de Algemene Voorwaarden (op nrc.nl) van het bedrijf staat dat het bedrijf uw gegevens kan gebruiken „om u te informeren over aanbiedingen van producten en diensten van NRC Media”. Klopt, maar dat gaat louter om eigen NRC-diensten niet om acties van derden. Abonneegegevens worden niet doorverkocht.
Of toch wel? Een andere lezer, die goed thuis is in privacyzaken, wijst erop dat ook op nrc.nl de bezoeker wordt „bestookt met cookies van partijen waarvan volkomen onduidelijk is welke informatie zij verzamelen en wat zij ermee doen”. Bijgeleverd een lijst van 38 sites die na het lezen van mijn rubriek iets van hem wisten, althans van zijn computer. Dus welke browser hij gebruikt, waar die zich ongeveer bevindt en wat de gebruiker ervan blijkbaar interesseert. En daar zaten een paar bijzondere bij, zoals – warempel – het Russische ok.ru, een versie van Klasgenoten (Odnoklassniki). En die nemen het met privacy misschien weer niet zo nauw.
Het wordt gedetailleerd uitgelegd in een Cookie Verklaring op nrc.nl (al vond deze lezer die nog te summier). Er zijn louter ‘technische’ cookies om, bijvoorbeeld, inloggegevens te bewaren, zodat u zich niet elke keer uitgebreid hoeft aan te melden.
Dan zijn er cookies die bewegingen tussen computers volgen. Media kunnen zo bijhouden waar stukken worden gedeeld. Terwijl u leest, gaat een cookie (als u tenminste toestemming hebt gegeven voor het plaatsen van cookies) naar bijvoorbeeld Twitter met de vraag of het stuk daar bekend is, dat wil zeggen gedeeld. Eveneens geautomatiseerd komt het antwoord: ja of nee. Nrc.nl gebruikt daar een statistisch pakket voor waar tal van sociale netwerken in zitten, en blijkbaar ook die oosterse Klasgenoten.
Naar aanleiding van die brief is dat cookie-pakket nu eens grondig doorgespit, en zijn maatregelen genomen. Dat wil zeggen: vijf sites, waaronder die verre Klasgenoten, zijn eruit verwijderd als niet-relevant. Aan die sites wordt dus niet meer gevraagd of een stuk is gedeeld. Wie overigens totaal geen cookies wil, kan die buiten de deur houden of achteraf wissen; daar is software voor, met fijne namen als Cookie Killer en Privacy Cleaner.
Werkgevers zijn een lobby gestart waarin ze ‘een knellend probleem’ aankaarten: de strenge regels rond privacy van zieke werknemers. En VNO-NCW en MKB Nederland doen hun beklag over de verplichte inzet van dure bedrijfsartsen.
De Autoriteit Persoonsgegevens (AP) handhaaft zo streng op de privacywetgeving, zeggen zij, dat het werkgevers niet lukt zieke werknemers goed te begeleiden. Ook kunnen ze zo onmogelijk mensen met een arbeidsbeperking een juiste werkplek bieden, stellen zij in een pamflet dat ze naar de Tweede Kamer hebben gestuurd...
...Dat na zes weken ziekte een bedrijfsarts moet worden ingeschakeld is volgens VNO-NCW ‘volstrekt onnodig’. “Werkgever en werknemer zijn over het algemeen prima in staat zelf onderling afspraken te maken zonder te spreken over diagnose of behandeling.” Door het snelle inschakelen van de bedrijfsarts is er sprake van “onnodige medicalisering” en “daarmee hogere kosten voor de werkgever”. Een bedrijfsarts vraagt immers een hoger uurtarief dan een zogenoemde ‘medewerker verzuim’.
Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG).Deze regels gelden ook voor sportverenigingen.
De volgende stap in het proces wordt nader uitgelegd in het artikel over informatiebeveiliging. Als club heb je de plicht om gegevens te beveiligen en in dit artikel lees je hoe je dat het beste kunt doen.
De hierboven aangeduide artikelenreeks werd geschreven door juristen van CMS. Download ze en bespreek ze binnen het clubbestuur of binnen de projectgroep/werkgroep binnen je club
Dit is misschien wel de spannendste editie van Data Privacy Day ooit. Wat op 28 januari 1981 begon met een Europees verdrag omtrent het verwerken van persoonsgegevens is verworden tot de GDPR, de Algemene Verordening Gegevensbescherming die al over vier maanden van toepassing wordt. En dan barst de storm echt los.
Wat kunnen we verwachten in 2018?
1. Invoering GDPR
2. Kritischer consumenten en privacy als business enabler
Consumenten worden langzaam maar zeker wakker. Ze worden kritischer en vragen bedrijven steeds vaker naar hoe zij met persoonsgegevens omgaan. Transparantie hierover zal in 2018 dus nog belangrijker worden, waardoor privacy voor bedrijven ook een business enabler kan worden.
3. De impact van nieuwe technologieën
Privacy by design is in 2018 belangrijker dan ooit. Als bedrijven of overheden geautomatiseerde keuzes maken, hebben burgers dan iets te zeggen over welke data ze daarvoor gebruiken? Of misschien de overheid? En wat gebeurt er met alle data die robots kunnen zien en horen in hun omgeving?
4. Actievere toezichthouders
Privacytoezichthouders worden dit jaar nog actiever. Dat betekent dat het voor organisaties moeilijker wordt om te ontkomen aan controles en dat het urgenter wordt om volgens de regels te handelen.
5. Definitieve uitspraak Amerikaanse hooggerechtshof in zaak ‘U.S. versus Microsoft’
Naar verwachting komt er nog voor de zomer een uitspraak van het Amerikaanse hooggerechtshof in de zaak ‘U.S. versus Microsoft’, die al sinds 2014 loopt. De zaak draait om e-mails die op een server van Microsoft in Ierland staan opgeslagen en waar Amerikaanse opsporingsdiensten inzage in willen. Nadat een federale rechter Microsoft in het gelijk stelde, stapte het Amerikaanse ministerie van Justitie naar het Amerikaanse hooggerechtshof. Wanneer dit uiteindelijk in het voordeel van het ministerie beslist, zou een massaverschuiving van data het gevolg kunnen zijn. Persoonsgegevens van consumenten en bedrijven die buiten de VS zijn opgeslagen, maar wel door een Amerikaans bedrijf, kunnen dan namelijk alsnog door de Amerikaanse autoriteiten worden ingezien: zonder tussenkomst van het land waar de gegevens daadwerkelijk staan en tegen de regels van de GDPR in.
Het was weer een bewogen op het gebied van privacy. Met de komst van de Algemene verordening gegevensbescherming (hierna: “AVG”) vanaf 25 mei 2018 staan gegevensbescherming en privacy meer dan ooit in de schijnwerpers: nieuwe wet- en regelgeving, ontwikkelingen in de rechtspraak (hier en hier), big data, Tinder, Uber en NS. Ontzettend veel nieuws om over te bloggen dus, daarom blikken we graag samen terug op (bijna) al het moois dat dit jaar in de wereld van privacy is gebeurd.
Uit onwetendheid of gemakzucht worden privacyregels geschonden en wordt medische informatie ongeoorloofd gevraagd, opgeslagen en gedeeld. Privacy bij ziekte blijft een lastig onderwerp...
...Vorig jaar baarde de overheidsinstantie Autoriteit Persoonsgegevens (AP) opzien door in haar uitgave ‘De zieke werknemer en privacy’ op te nemen dat een leidinggevende ook niet mag vragen welke handelingen een zieke medewerker wel of niet meer kan uitvoeren. Deze nieuwe regel staat op gespannen voet met de trend van de afgelopen jaren om steeds meer het overleg over ziekteverzuim neer te leggen bij de direct leidinggevende en de medewerker...
...Ook aan ziekteverzuimcijfers en -overzichten worden regels gesteld. Zo mag een werkgever daarin geen medische gegevens opnemen die herleidbaar zijn tot personen. En verder mogen individuele verzuimgegevens in de eigen organisatie alleen belanden bij personen die direct betrokken zijn bij het verzuimbeleid.
De praktijk is op veel plaatsen anders. Regelmatig is er brede toegang tot ziekteverzuimoverzichten waarin met naam en toenaam is beschreven hoe vaak en hoe lang werknemers in de afgelopen periode ziek zijn geweest. In een uitzonderlijk geval staat daar zelfs de aard van de ziekte bij vermeld. Dat is in strijd met de wet.
