Bedrijven maken zich klaar voor invoering datawet AVG
Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG), een Europese regeling die bedrijven, stichtingen en instituten dwingt precies bij te houden wat er met de data van hun klanten of leden gebeurt. De invoering veroorzaakt een hoop stress bij bedrijven. ‘Maar ze zijn al veel langer verplicht om te weten hoe ze data verwerken, en die verwerkte gegevens moeten ook al jaren goed beveiligd zijn.’
Deze maand gaat de Algemene verordening gegevensbescherming (AVG) in, die datamisbruik in de toekomst moet voorkomen. Een saillant moment, want slechts een paar weken eerder bleek dat Facebook de data van tientallen miljoenen gebruikers had doorgesluisd naar het bedrijf Cambridge Analytica. Dat maakte daarmee profielen van mensen en beïnvloedde aan de hand daarvan hun stemgedrag. De Brexit en de verkiezing van Donald Trump als president zijn mogelijk mede door deze tactiek van Cambridge Analytica
veroorzaakt.
Op die manier persoonsgegevens doorverkopen moet veel moeilijker worden als de AVG van kracht is. Die vereist dat bedrijven hun klanten informeren over datagebruik en doorverkoop. Dat geldt voor alle gegevens: als een sportvereniging de geboortedatum van hun leden wil doorgeven aan een bar, zodat die weet wie er wel en niet boven de achttien is in verband met alcoholverkoop, dan moeten die leden daar toestemming voor geven.
E-mail doorverkopen
De wet zet een heleboel praktijken op de helling. Plotseling moet elk bedrijf precies kunnen vertellen wat het met gegevens doet. Soms vindt het verwerken van data bij een extern bedrijf plaats; soms worden persoonsgegevens gedeeld met een zusterbedrijf. En wat
te denken van het e-mailadres dat je vaak moet invullen voor gratis dingen online? Dat kan niet zonder meer worden doorverkocht aan advertentiebureaus die vervolgens spam sturen.
Niet voor niets maken veel kleine organisaties zich zorgen. Verenigingen die op vrijwilligers draaien, hebben vaak niet het geld of de tijd om het hele datanetwerk uit te pluizen en te stroomlijnen. Begin april werd duidelijk dat duizenden sportclubs nog niet klaar waren voor de AVG. Als 25 mei niet alles op orde is, kunnen die clubs een boete krijgen.
Coulance
Zo’n vaart zal het waarschijnlijk niet lopen. ‘Kleine ondernemingen hebben vaak geen complexe data. Als je je klanten- of ledenbestand goed op orde hebt, is er waarschijnlijk geen reden tot zorg. Bovendien zal er voor sportclubs en dergelijke wel enige coulance gelden’, zegt mr. Rachel Marbus, Privacy Officer bij KPN. ‘Grote bedrijven hebben het wat dat betreft moeilijker, bijvoorbeeld bedrijven met veel klanten die allerlei verschillende producten hebben van verschillende afdelingen. Dat moet je allemaal in kaart brengen.’
Marbus kan het weten, want KPN heeft als telecomprovider een ingewikkeld klantenbestand. ‘Hoewel we niet handelen met de data van onze klanten, moeten we wel weten waar gegevens terechtkomen.’ Daarom begon het bedrijf anderhalf jaar terug al met een verwerkingsregister, waarin elke aanpassing of verplaatsing van data automatisch wordt geregistreerd. Zo kan het bedrijf altijd precies zien waar de gegevens van een klant zijn. ‘Als hij of zij dan een verzoek tot verwijdering doet of data mee wil nemen naar een andere provider, kunnen we zo alle gegevens vinden.’
Maximale boetes
Voor bedrijven die data gebruiken voor hun handel, zoals Facebook en andere sociale media, kan de AVG snel ingewikkeld worden. In theorie zouden ze immers voor elke keer dat ze gegevens doorverkopen of verwerken toestemming moeten vragen aan gebruikers.
Er is echter een uitweg: als dataverwerking een ‘gerechtvaardigd belang’ heeft, is er geen expliciete toestemming nodig. Een gerechtvaardigd belang houdt in dat de gegevens een doel dienen dat onderdeel is van de functionaliteit of het bedrijfsmodel. Europese toezichthouders merkten dataverzameling voor advertenties al eerder aan als gerechtvaardigd belang.
Maar ondertussen zeggen ze ook dat te uitgebreide verzameling van data een dusdanig grote privacyinbreuk is dat het belang van de burger voor het belang van het bedrijf kan gaan. Hoe dat in de praktijk gaat uitpakken, is nu nog gissen. De risico’s voor Facebook en soortgelijke bedrijven zijn echter groot: de maximale boetes onder de nieuwe AVG bedragen 20 miljoen euro of 4 % van de wereldwijde netto jaaromzet. Voor Facebook zou dat laatste bedrag in de miljarden lopen.
Niet voor niets kondigde Facebook begin dit jaar al nieuwe privacymogelijkheden aan. Na de schandalen rond datagebruik zal het bedrijf daar ongetwijfeld haast mee maken. CEO Mark Zuckerberg zei AVG-proof privacyregels door te voeren voor alle Europese gebruikers. Specifieker werd hij echter niet.
Millenniumbug
Voor datareuzen kan de AVG dus problemen geven. Voor kleinere ondernemingen met minder verstand van privacyrecht heeft de Autoriteit Persoonsgegevens een uitgebreide website met checklists en tips. Als alle bedrijven zich aan de nieuwe regels houden, krijgen burgers dankzij de AVG meer zeggenschap over hun gegevens. ‘Daardoor kunnen ze ook betere keuzes maken: iedereen bepaalt straks actief of en hoe zijn of haar data worden gebruikt’, aldus Marbus.
Ten slotte raadt Marbus mensen aan om rustig te blijven. ‘Soms lijkt de paniek over de AVG wel wat op die rond de millenniumbug. Omdat de nieuwe verordening bijna ingaat, maakt iedereen zich plotseling zorgen. Maar bedrijven zijn in Europa al veel langer verplicht om te weten hoe ze data verwerken en de verwerkte data moeten ook al jaren goed beveiligd zijn. De nieuwe regels zorgen er met name voor dat systemen fijnmaziger moeten worden, maar het is niet het einde van de wereld.’
Beeld: TheDigitalArtist/Pixabay