07 juni 2018

Moet ik nu weer zo'n privacy policy lezen?!

Misschien heb je dat de laatste tijd wel eens geroepen als je weer een mailtje kreeg van een bedrijf met een privacy policy. De nieuwe Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei van kracht, en dit brengt een aantal veranderingen met zich mee. Ook de rol van mensen wiens data wordt verwerkt (jij en ik, zogeheten betrokkenen), is net iets anders. Hoe zit dat precies?

Als het je niet uitmaakt wat bedrijven en overheidsinstanties met je data doen, dan kan je het allemaal gewoon negeren. In die zin is het net zoals stemmen tijdens de verkiezingen: het geeft je de mogelijkheid op inspraak, maar je kunt het ook links laten liggen, als je er echt geen zin in hebt. Het is soms wel zo dat jouw toestemming vereist is als je een dienst of product wilt afnemen. Daarom ‘moet’ je regelmatig cookies accepteren om van een website gebruik te maken.

Moet ik nu weer zo’n privacy policy lezen?!

Hoe irritant gegevensbescherming ook kan zijn voor betrokkenen, bedrijven en allerlei andere organisaties, zoals overheidsinstanties, gaan er pas echt onder gebukt. Zij riskeren boetes als ze niet aan hun verplichtingen voldoen. Ze moeten bijvoorbeeld in kaart brengen welke persoonsgegevens ze verzamelen en of daar wel een goede reden voor is. Dit moeten ze ook allemaal documenteren zodat ze aan kunnen tonen dat ze aan de wet voldoen. Zo moeten ze nu bijvoorbeeld kunnen laten zien of er, waar nodig, wel valide toestemming is gegeven. Daarom heb je wellicht de vraag gekregen of je je opnieuw voor een nieuwsbrief in wilt schrijven: zodat ze jouw toestemming buiten kijf kunnen stellen.

Moeilijke vragen

Waar is dit nou allemaal goed voor? Ook in privacyland zijn er genoeg mensen die beteuterd kijken naar al die ‘lege’ verplichtingen. Toch kunnen we er wel iets van bakken.

Gegevensbescherming gaat vooral om de vraag wie beslist. Mag een uitzendbureau weten wat je afkomst is, of alleen al dat je Aisha heet, met het risico dat ze je dan ongerechtvaardigd discrimineren? Mag je baas weten dat je weinig sport, of alleen al dat je regelmatig een gevulde koek pakt tijdens de pauze, als dat betekent dat je misschien ook zo’n fitnessarmband krijgt opgedrongen? Wat vind je van cookies die bijhouden welke websites je bezoekt en wat je dan precies bekijkt, zodat je op maat gesneden advertenties te zien krijgt?

Dit zijn moeilijke vragen. Gelukkig geeft de Algemene Verordening Gegevensbescherming aan waar organisaties op moeten letten. Zo moeten ze bepalen of hun gegevens voor een legitiem doel zijn verzameld. Fraudebestrijding is bijvoorbeeld een legitiem doel. Het is een stuk minder acceptabel om persoonsgegevens te verzamelen en dan door te verkopen. Organisaties moeten zich ook afvragen of ze wel behoorlijk bezig zijn, of dat ze een disproportionele impact op de rechten en vrijheden veroorzaken. Het is bijvoorbeeld problematisch als heel veel mensen constant in de gaten worden gehouden, of als algoritmes worden gebruikt voor besluiten die eigenlijk door mensen moeten worden genomen.

Gegevensbescherming gaat vooral om de vraag ‘wie beslist’. Mag een uitzendbureau weten wat je afkomst is, of alleen al dat je Aisha heet, met het risico dat ze je dan ongerechtvaardigd discrimineren?

Toch is het maar goed ook dat het niet enkel en alleen aan organisaties zelf is of ze hier een goede beoordeling over maken. Het recht biedt al met al vrij weinig houvast, waardoor het belangrijk is dat deze beoordelingen niet alleen door de organisatie zelf worden gemaakt. De wet regelt het zo dat hier meerdere mensen of instanties bij zijn betrokken. Organisaties maken een eigen beoordeling , maar jij kan die beoordeling zelf betwisten. Je kan opvragen wat er precies met je persoonsgegevens wordt gedaan en vervolgens een berichtje sturen om te zeggen dat je dat niet wilt. Soms kan het nog makkelijker: je kan in je browser aangeven wat voor cookies je wel of niet accepteert, en op je telefoon bepaal je of een app toegang heeft tot je camera.

De toezichthouder speelt ook een belangrijke rol, nu er allerlei procedures zijn waarlangs ze een oogje in het zeil houden en de regels verduidelijken. Sectoren mogen eigen regels opstellen. En de wetgever kan natuurlijk altijd in een andere wet regelen dat bepaalde gegevens worden bijgehouden (denk weer aan het voorkomen van fraude), of juist niet (bijvoorbeeld vanwege discriminatie).

Niet leeg, wel procedureel

Het is dus zo dat de gegevensbescherming zelf vrij weinig direct verbiedt. Je vindt in de Algemene Verordening Gegevensbescherming geen gedetailleerde regels over de vraag of persoonsgegevens wel of niet mogen worden gebruikt voor nieuwspersonalisatie of algoritmische besluitvorming. Er staat wel in dat organisaties betrokkenen moeten informeren, dat mensen verzet kunnen aantekenen, wat de toezichthouder allemaal mag doen, en wie de regels (beginselen in de Algemene Verordening) dan wel mag uitwerken. Vandaar de indruk dat de Algemene Verordening leeg of zinloos is – alleen maar goed voor die talloze mailtjes over privacy die niemand daadwerkelijk leest, en die cookie banners die iedereen weg klikt. Maar waar deze wet wel voor zorgt, is dat die moeilijke vragen over gegevensverwerking niet alleen worden beantwoord door – om terug te komen op de voorbeelden van hierboven – het uitzendbureau en de werkgever. Je kan zelf verzet aantekenen, toezichthouders kunnen ingrijpen, en het parlement mag altijd nog nadere regels stellen.

Vind je het nog steeds irritant dat je gebombardeerd wordt met privacy policies? Er ligt nu ten minste een hoop verantwoordelijkheid bij bedrijven en overheidsinstanties zelf. Deze verandering is ingevoerd toen duidelijk was dat de meeste mensen geen tijd hebben om regelmatig controle uit te oefenen over hoe hun data wordt gebruikt. Mocht je dit niet helemaal vertrouwen, dan moet je wel zelf actie ondernemen.

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

NEMO Kennislink nieuwsbrief
Ontvang elke week onze nieuwsbrief met het laatste nieuws uit de wetenschap.