Analyse Privacy

Nieuwe Europese privacywetgeving komt erg laat en heeft zwakke plekken, maar toch is het een aanwinst

De bescherming door de AVG, de nieuwe Europese privacy-verordening, komt te laat en doet te weinig. En toch gaan we erop vooruit, analyseert Huib Modderkolk.

Foto Rhonald Blommestijn

Je hoeft geen cynicus te zijn om te zien dat de AVG, de privacy-verordening die sinds vrijdag van kracht is en die bepaalt hoe bedrijven en organisaties die persoonsgegevens verwerken, ook zwakke plekken kent. Natuurlijk, de theorie is prachtig. Eindelijk regelgeving over wanneer bedrijven persoonsgegevens mogen verzamelen, hoe de organisatie daarop ingericht dient te zijn, hoe de gegevens vervolgens beschermd gaan worden, en hoe betrokkenen controle krijgen over die gegevens.

Cookie-effect?

Maar de verordening komt wel erg laat, op een moment dat onze privacy al flink uitgehold is, en ook de intimiteit in de huiskamer onder druk staat door slimme apparaten en de smartphone. Terwijl u kijkt of het vanmiddag gaat regenen, registreert Buienradar uw locatie en profiel en verkoopt die data aan adverteerders. Tientallen bedrijven kijken dagelijks stiekem met u mee via bestandjes op uw smartphone en computer. Commerciële incassobureaus hebben databanken met de gegevens van miljoenen Nederlanders. De strijd lijkt dus al verloren. Niet voor niets signaleerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in 2016 dat de hoeveelheid data over personen door gebruik van internet, sociale media en mobiele telefoons exponentieel is toegenomen, en wel zozeer dat het goed is te gaan kijken wat organisaties met die data doen en niet enkel naar hoe die data verzameld zijn.

Dat gebeurt met de AVG slechts ten dele. Wie de afgelopen weken e-mails van allerlei bedrijven ontving, moest constateren dat er grote verschillen zijn in hoe zij communiceren. De bloemensite die keurig om toestemming vraagt om in het vervolg nog eens een aanbieding per mail te mogen sturen versus WhatsApp dat in verhullend taalgebruik akkoord vraagt voor het delen van gegevens met Facebook omdat het de veiligheid zou verbeteren. Om welke gegevens het gaat, vermeldt WhatsApp niet. En wie vervolgens naar de werkelijke gegevensdeling zoekt, leest over ‘gegevenscategorieën’, ‘soorten en de frequentie van de functies die je gebruikt’. De gewone gebruiker komt zover niet en weet dus ook niet dat hij zojuist akkoord gaf voor het delen van metadata (met wie heb je contact, in welke groepen zit je, wat is je netwerk, hoe vaak delen jullie informatie) met Facebook. Een aantal jaar geleden beloofde Facebooktopman Mark Zuckerberg nog dat dit nooit zou gebeuren.

Het gevaar bestaat bovendien dat eenzelfde effect ontstaat als bij de cookiewetgeving uit 2012, waarbij het verplicht werd bezoekers van een website toestemming te vragen voor het opslaan van hun gegevens. Ook dat kwam voort uit een nobel streven: gebruikers meer inzicht bieden in wat bedrijven allemaal over hen verzamelen. Inmiddels zijn die cookiemeldingen hinderlijke obstakels geworden die je als consument het liefst zo snel mogelijk wegklikt. Om een echte keuze gaat het vaak ook niet meer: websites moffelen de werkelijke implicaties van de cookies weg. Er staat bijvoorbeeld nooit om hoeveel cookies het gaat en naar welke bedrijven de informatie wordt gestuurd. En hoeveel mensen zullen vrijdag de stroom aan e-mails van bedrijven met daarin informatie over hun gegevens werkelijk bekeken hebben?

Onder een paraplu in een orkaan

Het succes van de AVG staat of valt bij handhaving door de toezichthouders. Ook dat aspect stemt niet al te vrolijk. De toezichthouders – in Nederland de Autoriteit Persoonsgegevens (AP) – zijn nauwelijks berekend op hun taak. Vorig jaar zei de AP dat er minimaal 185 mensen nodig zijn om effectief te kunnen handhaven. Dat aantal ligt nu op iets meer dan 120 en zal groeien naar maximaal 150. Vrijdag berichtte het Financieele Dagblad over interne onrust bij de AP. Er zou onenigheid zijn over de interpretatie van regelgeving en hoe die te handhaven. Alleen een effectieve toezichthouder kan zich meten met bedrijven als Google, Amazon, Ahold, Unilever, Facebook. En ook dan zullen die manieren vinden om de gevolgen van de AVG te beperken. Facebook heeft reeds 1,5 miljard gebruikers van het platform juridisch van Ierland naar Californië en dus buiten de EU verplaatst, zodat ze niet onder de Europese privacyverordening vallen. Wil de Autoriteit Persoonsgegevens een vuist maken, dan moet zij opboksen tegen de beste advocatenkantoren. Geen wonder dat er tot nu toe nooit boetes zijn uitgedeeld.

Foto Rhonald Blommestijn

Ondertussen dendert de technologie voort. In Amsterdam hangen inmiddels zo veel camera’s dat de Commissie Persoonsgegevens Amsterdam (CPA) in het jaarverslag over 2017 concludeert dat er niet langer van uit kunnen gaan dat burgers er over straat kunnen zonder begluurd te worden. In Het Parool zei commissievoorzitter Ulco van de Pol daarover: ‘Eigenlijk hebben we geen idee hoeveel en welke systemen er precies in de stad hangen en hoe die samenwerken.’

Tel daarbij op dat er allerlei nieuwe technieken aankomen die nog veel verder in het privéleven zullen binnendringen. Een van de belangrijkste daarvan zal gezichtsherkenning zijn – om toegang tot bijvoorbeeld een telefoon te krijgen maar ook om in grote mensenmassa’s bepaalde personen te herkennen. Apple werkt er al mee, Facebook is ermee bezig en Amazon ook. Onlangs werd bekend dat Amazon de technologie alvast heeft verkocht aan opsporingsdiensten in de Verenigde Staten. De politie zou die willen gebruiken in bodycams. De foto’s van meer dan de helft van de volwassen Amerikanen zitten al in een landelijke database. Vergeleken met wat in China al de praktijk is, is dat nog kinderspel. Daar registreren camera’s wie door het rode licht loopt, en hebben overtredingen gevolgen voor een ‘sociale kredietscore’. Met dit als voorland biedt de AVG straks net zo veel bescherming als een paraplu in een orkaan.

Een handrem voor als het te snel gaat

Het probleem met privacy is: je ziet pas wat je verloren hebt als het al te laat is. Neem het systeem van de afvalpas, waarbij bewoners vuilniszakken in ondergrondse containers kunnen gooien door een persoonsgebonden pasje voor een scanner te houden. In Haarlem, Maastricht, Utrecht en Nijmegen gaat dat al zo. Het idee is dat de pas nauwkeurig bijhoudt hoeveel vuilnis er per huishouden in de bak gaat. Wie meer weggooit, betaalt meer dan wie niet zoveel weggooit.

Sympathiek toch? Maar wat gebeurt straks er met al die gegevens? Wil de politie ze uiteindelijk ook even inzien? Wil de Belastingdienst gaan kijken of je je huis niet stiekem onderverhuurt? Wie weet straks allemaal wanneer jij thuis bent?

En neem Amazon. Dat bedrijf verdedigt het verkopen van gezichtherkenningssoftware aan de politie met het argument dat het nuttig is als de politie in een menigte die ene crimineel kan herkennen. En wie wil nou niet dat zijn zoekgeraakte kind in een pretpark dankzij de overal aanwezige gezichtsherkenningscamera’s direct weer gevonden kan worden?

Zo zijn er talloze voorbeelden, van een slimme meter die je energieverbruik bijhoudt tot een app die in de gaten houdt waar je vrienden uithangen, of een kastje in de auto waarmee de verzekeraar meekijkt of je wel veilig rijdt. Het lijkt reuze handig, maar wat nou als die gegevens worden misbruikt?

Dat er vroeg of laat een moment kan komen waarop we omkijken en ons wild schrikken, heeft het schandaal rond Cambridge Analytica bewezen. Jarenlang gaven Facebookgebruikers vrijwillig hun meest persoonlijke informatie aan een hypercommercieel Amerikaans bedrijf. Dat ging er geld mee verdienen: kijk eens wat hier allemaal te halen valt. Hele samenlevingen bleken onderverdeeld te kunnen worden in allerlei nuttige subgroepen: zij die van Beyoncé houden, zij die tussen de 20 en 24 en koopkrachtig zijn, de mensen uit Zwolle die graag naar het theater gaan, de 44-jarige vrouwen met een voorliefde voor dure zonnebrillen.

Handige databedrijven slurpten de profielen van gebruikers op en voegden daar zelf weer informatie aan toe. Gebruikers gaven de toestemming. Cambridge Analytica haalde geniepig de profielen van 87 miljoen Facebookgebruikers binnen. Het bleek een prachtig middel om tijdens de Amerikaanse presidentsverkiezingen nietsvermoedende Facebookgebruikers met op maat gesneden advertenties te bestoken en te beïnvloeden.

En tja, dan kun je kwaad worden op Mark Zuckerberg en zijn kompanen. Maar een feit is dat we allemaal medeverantwoordelijk zijn. We klikken maar wat aan, lezen de voorwaarden niet, en denken alleen aan de voordelen voor onszelf op de korte termijn – niet aan de eventuele schade voor de samenleving op de lange termijn.

Nu is er de AVG. En nee, de verordening zal er niet voor zorgen dat mensen hun smartphone minder gaan gebruiken. Dat ze stoppen met Google of hun locatievoorzieningen eens wat vaker uitzetten. Dat ze Wehkamp gaan vragen welke profielen er eigenlijk allemaal van ze bestaan, of Ahold in welke categorie boodschapper ze eigenlijk vallen. Noch zal de verordening een einde maken aan het verhullende taalgebruik van bedrijven die naar uw persoonsgegevens hengelen. De kracht van de AVG zit ergens anders.

Allereerst krijgen we een beetje controle terug. Een handrem voor als het te snel gaat. Een mogelijkheid om inzicht te eisen in profielen. Om data op te eisen. En om bedrijven te beboeten die niet goed met onze gegevens omgaan. Die boetes kunnen oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet (bij het moederbedrijf van Google, Alphabet, kan het om ruim 4 miljard euro gaan). Er staat weer iets op het spel.

Dus elke keer als u de komende tijd een mailtje krijgt van een bedrijf, kunt u zuchten. Of u kunt eraan denken dat er weer een bedrijf is dat het net wat beter voor elkaar heeft. Maar misschien nog wel belangrijker: de AVG maakt een einde aan de vrijblijvendheid, de achteloosheid en het kortetermijndenken. We zullen meer over privacy gaan discussiëren. We zullen langer nadenken voordat we ergens op klikken. En dat alleen al mag winst heten. 

Van boeman naar beschermheer: zorgt succes nieuwe privacywetgeving voor imagoverbetering Europa?

Het imago van Europa is bij veel burgers dat van boeman en ongewenste indringer. Al die Brusselse regels, en voor wat? Maar de nieuwe privacywetgeving kan een trendbreuk blijken: dit kan Europa voor u betekenen.

Privacywaakhond heeft te weinig handhavers voor kleine bedrijven; vooral controle overheid en zorg

De Autoriteit Persoonsgegevens (AP) moet de nieuwe privacywet gaan handhaven. Maar ervaren mensen vertrekken en de Autoriteit zegt zelf dat ze haar pijlen komende twee jaar vooral zal richten op datalekken bij overheids- en zorgorganisaties. Kleine ondernemers hebben van de waakhond voorlopig weinig te vrezen. 

Wat betekent die nieuwe Europese privacywet voor ú?

De privacyrichtlijn is een feit. Bedrijven, overheden en instellingen hebben tijd gehad zich voor te bereiden en ook de consument zal het niet zijn ontgaan dat er iets aan de hand is. Maar wát dan precies? Vijf veranderingen voor de burger.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.