Krijgt de burger het eindelijk voor het zeggen in de data-economie?

De Tweede Kamer debatteert donderdag over de nieuwe privacywet

De nieuwe privacywet waarover de Tweede Kamer donderdag debatteert, moet een rem zetten op de onstilbare honger van bedrijven naar persoonlijke gegevens. Krijgt de burger het eindelijk voor het zeggen in de data-economie?

Beeld Illustratie: Peter van Hugten

Wie denkt dat de nieuwe privacywet alleen datareuzen als Facebook en Google treft, heeft het mis. Ook Tanja Poulissen-Houkes van Autobedrijf Steyger in Voorschoten moest begin deze maand zo'n 2.400 brieven versturen naar haar klanten. Via een vragenlijst kunnen zij onder meer laten weten of ze gediend zijn van een seintje per mail of sms wanneer het tijd is voor de periodieke onderhoudsbeurt van hun auto. 'Alleen al met het vouwen en in de enveloppen doen van de vragenlijsten was ik twee dagen bezig.'

Overdreven? 'Ik zie geen andere manier om dit te doen', zegt Poulissen-Houkes. 'Wij moeten als bedrijf straks aan de privacytoezichthouder kunnen aantonen dat klanten hiervoor toestemming hebben gegeven. Dus heb ik dit bedacht.' Maar tijdrovend is zo'n mailing wel. Niet voor niets schuiven veel andere garagehouders de broodnodige maatregelen voor zich uit. 'En dan moet ik nog beginnen met het schrijven van ons officiële privacy-beleid, ook zo'n nieuwe eis', verzucht de garagehouder.

Privacyrevolutie

Over minder dan drie maanden is het al zover. Dan wordt de Algemene Verordening Gegevensbescherming, kortweg AVG, van kracht. Achter die droge Brusselse verordening gaat niets minder dan een privacyrevolutie schuil. Donderdag debatteert de Tweede Kamer over de wet waarmee deze vanaf 25 mei wordt omgezet naar Nederlandse regelgeving.

De oude privacywet stamt nog uit de tijd dat het internet in de kinderschoenen stond. De nieuwe vormt het politieke antwoord op de opmars van de data-economie. Daarin gelden persoonlijke gegevens als het nieuwe goud. Wie is de klant, welke producten koopt hij of zij, zijn er in het verleden ziekten geweest? Allemaal informatie waarmee bedrijven grof geld kunnen verdienen.

De AVG moet burgers het gereedschap aanreiken om dat kostbare bezit te beschermen. Zo krijgen Europeanen het recht op 'dataportabiliteit': ze mogen voortaan hun eigen gegevens meenemen naar een andere organisatie. Zowel klanten als werknemers kunnen hun data opvragen - of het nou bij Facebook is, de Hartstichting, de Nederlandse Spoorwegen of Albert Heijn. Verkopen deze organisaties die informatie door aan anderen, dan dienen ze dat ook te vermelden.

De allerbelangrijkste verandering is dat de privacywaakhond tanden krijgt. 'Tot nu toe konden organisaties misschien wel denken: laat de toezichthouder maar aantonen dat wij iets verkeerd doen. Nu wordt het eerder andersom', zegt Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden. De nieuwe wetgeving is van toepassing op de data van alle inwoners van de Europese Unie. Het maakt niet uit of die gegevens in Nederland worden opgeslagen of op een server in de Verenigde Staten. Overtreders moeten bovendien vrezen voor torenhoge boetes. Het maximum is 20 miljoen euro of 4 procent van de wereldwijde jaaromzet - bij een internetgigant als Facebook zou het gaan om een bedrag van een slordige 1,3 miljard euro.

Paniek

De paniek hierover grijpt om zich heen. Afgelopen zomer bleek uit een enquête dat 70 procent van de ondernemers niet op de hoogte is van wat er allemaal op stapel staat. Minder dan drie maanden voordat de nieuwe regels ingaan, noemt privacyspecialist David de Nood van werkgeversorganisatie VNO-NCW en MKB-Nederland de situatie nog altijd 'behoorlijk zorgelijk'. 'Vorige week nog hield ik een praatje voor professionals. Maar liefst 84 procent verwachtte dat hun bedrijf de deadline van 25 mei niet zal halen.'

Er wacht ondernemers dan ook een indrukwekkende stapel huiswerk. Zoals het opzetten van een heuse databoekhouding. 'Neem een supermarktketen. Die moet daarin onder meer bijhouden welke gegevens ze verzamelt via de camera's in de winkel of de kassa's, wat er met die data gebeurt en waarom dat noodzakelijk is', vertelt Wouter Seinen, die als partner bij Baker McKenzie vooral multinationals adviseert over de nieuwe wetgeving. Nog iets nieuws: de Data Protection Officer. Volgens een grove schatting van de IAPP, een internationale organisatie van privacydeskundigen, zullen vooral grotere bedrijven de komende tijd wereldwijd 75 duizend van zulke DPO's moeten benoemen. Zij gaan toezien op de naleving van alle privacyregels.

Opvallend genoeg lijken juist de grootste privacyzondaars hiermee de minste moeite te hebben. Zo heeft Google vooruitlopend op de AVG al een privacydashboard opgetuigd. Gebruikers kunnen daarop aangeven wat de zoekmachine wel en niet met hun gegevens mag doen. De pijn zit hem bij de kleinere bedrijven die minder geld, menskracht en specialistische kennis hebben. 'Vrijwel alle ondernemers vallen onder deze wet, tot en met de fietsenmaker', legt David de Nood van de werkgeversorganisaties uit. 'De administratieve rompslomp waaraan zij moeten voldoen is buitenproportioneel. Ik roep niet op tot ongehoorzaamheid. Maar ik vraag me wel af welk probleem we hiermee nu eigenlijk aan het oplossen zijn.'

Dit zijn (straks) uw privacyrechten

Bedrijven moeten in begrijpelijke taal vermelden wat ze doen met uw gegevens en waarom.

Burgers kunnen oude data laten verwijderen door een beroep te doen op hun 'recht op vergetelheid'.

'Dataportabiliteit': de klant mag zijn gegevens opvragen en meenemen naar, bijvoorbeeld, een nieuwe energie-aanbieder.

Klanten en werknemers mogen de over hen vastgelegde gegevens inzien. Klopt er iets niet, dan hebben zij recht op rectificatie.

Computer says no? Bij procedures, bijvoorbeeld de aanvraag voor een lening, kunt u voortaan eisen dat er een mens naar kijkt.

Mensenrecht

En de burger? Die gaat er wel degelijk op vooruit, vindt Hans de Zwart van privacyorganisatie Bits of Freedom. 'Anders dan de Verenigde Staten of China behandelt Europa privacy nu expliciet als een mensenrecht. Dat is een goede ontwikkeling. Wat wij hopen, is dat de Europese Unie met haar belangrijke afzetmarkt van honderden miljoenen mensen hiermee ook internationaal de toon gaat zetten.'

Andere deskundigen zijn minder optimistisch. Er is een risico dat deze privacywet vooral tot afvinklijstjes en andere bureaucratie leidt, zegt hoogleraar Zwenne. 'Maar het dwingt bedrijven en organisaties in elk geval bewuster om te gaan met de gegevens van klanten.' Die mening is ook Wouter Seinen van Baker McKenzie toegedaan. 'Nu is het nog vaak goedkoper voor organisaties om persoonlijke gegevens massaal te bewaren dan er kritisch naar te kijken en een deel te verwijderen. Dat gaat hoe dan ook veranderen. Daarmee tilt deze wet onze datahygiëne naar een hoger niveau.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.