Menu

Filter op
content
PONT Data&Privacy

0

Interview Lokke Moerel: Handhaving is prioriteit nummer 1

De Algemene verordening gegevensbescherming (AVG) is nu een jaar in werking. Hoe gaat het en wat moet er allemaal nog gebeuren? Een gesprek met privacy deskundige prof. Lokke Moerel over effectief optreden, over boetes opleggen, over het verschil tussen het Angelsaksische en continentale systeem en over de rol van bedrijven, consumenten en het onderwijs.

22 May 2019

Auteurs: Koos de Wilt, Léonhard Weijmar Schultz

Volgens het FD leeft 99 procent van het MKB de AVG niet na. Wat moeten we daarvan vinden?

Dat verbaast me niets, alhoewel ik weinig zicht heb op het MKB. Ik weet wel dat de echt grote bedrijven met veel consumentengegevens de afgelopen tijd veel hebben gedaan. Vijf jaar geleden kwam ik nog bij CIO’s die niet eens wisten welke systemen ze hadden staan en hoe die aan elkaar waren geknoopt. Laat staan dat ze wisten welke data ze eigenlijk verwerkten. Er wordt tegenwoordig minder lang data bewaard, regelmatiger opgeschoond en er is een betere beveiliging. Men is zich terdege bewust van dat er hoge boetes staan op de meldplicht datalekken. Ook is de consument assertiever, die zegt veel vaker: “kun je niet beter voor mijn data zorgen?” Daar heeft de AVG met de hoge boetes een rol bij gespeeld. De privacy regels waren lang een soort soft law, nu is het serieus.

Maar moet de Autoriteit Persoonsgegevens (AP) niet wat strenger optreden naar het MKB?

Als er geen handhaving is en geen boetes worden opgelegd, dan ondermijnt dat uiteindelijk de legitimiteit van de regels. Maar gezien de grootschalige overtredingen door de tech-giganten, vind ik het volstrekt terecht dat de AP niet begint met het opleggen van boetes bij bakkerijen. De AP heeft in de media onnodige onrust veroorzaakt door bijvoorbeeld aan te geven dat de e-nieuwsbrief van de kerk met de geboorteaankondigingen niet meer zo mag worden verstuurd. Natuurlijk moet je wel streng zijn op kleine partijen met websites voor vragen over ziektes, seksuele problemen en mensen met zelfmoordneigingen. Die verzamelen gevoelige gegevens, maar wat voor gegevens heeft de bakker om de hoek nou helemaal?

Waar zou de focus moeten liggen?

Het afsluiten van onnodige toegang, betere beveiliging en geen verkoop van gegevens aan derden. Zorg dat in een ziekenhuis niet iedereen toegang heeft tot de patiëntendossiers. Mensen zijn zo ontzettend nieuwsgierig. De ziekenhuis systemen gaan plat als de directeur zelf ziek is. Iedereen neemt een kijkje. Hetzelfde geldt voor de politiesystemen als er een BN’er wordt opgepakt. Dus: voer strenge access controls in en zorg voor goede beveiliging. Wees er tot slot streng op dat gegevens niet worden verkocht of aan derden worden doorgegeven voor commerciële doeleinden. Hier gaat nog zo veel mis bij relevante partijen, dat we daar eerst op moeten focussen met flinke boetes. Er is genoeg geadviseerd, nu is het tijd om boetes op te leggen.

Maar hoe zit het met de capaciteit van de AP?

Natuurlijk zijn er bij de AP veel mensen weggegaan en nieuwe gekomen. Daar kun je van alles van vinden, maar laten we vooruitkijken. Ik vind dat de intensiteit en kwaliteit van handhaving nog stug omhoog moet. De AP moet net zo’n doorgewinterde toezichthouder worden als de Autoriteit Consument en Markt (ACM). En natuurlijk zullen ze daarbij fouten maken en worden teruggefloten, maar dat is een onderdeel van het proces.

Wat is nu eigenlijk het gevaar?

Met Cambridge Analytica hebben we gezien dat onze online gegevens uiterst gevoelige informatie betreft, waarmee je zelfs de verkiezingen kan beïnvloeden. Maar het is net als met het klimaatprobleem. Het zinkt bij mensen pas echt in als er eerst iets serieus misgaat. Tot die tijd komt het niet binnen. Het huidige systeem van advertentienetwerken, waarbij je als consument gedwongen wordt om eerst tracking cookies en de bijbehorende privacy policy te accepteren voordat je toegang tot een website krijgt, is natuurlijk een farce. In het boek The Age of Surveillance Capitalism staat een prachtig voorbeeld waarbij, nadat Columbus de nieuwe wereld had ontdekt, de Spanjaarden bij elk nieuw eiland dat ze aandeden aan de inheemse bevolking in het Spaans een verklaring voorlazen dat ze het land bij deze hadden ingenomen. Dat zou dan legitimeren dat ze het land hadden bezet. In onze tijd kondigen ze in de privacy policy aan dat ze je bezoekersgegevens verkopen aan advertentienetwerken, terwijl die data niet nodig is voor het leveren van de dienst zelf. Ze onteigenen je data en jij krijgt er niks voor terug. En dat staat dan in een privacy policy die net zo onbegrijpelijk is als het Spaans voor de eilandbewoners toen. De Googles van deze wereld houden daar pas mee op als ze het mes op de keel krijgen van toezichthouders. Optreden dus. De Franse waakhond heeft Google onlangs een boete van vijftig miljoen euro opgelegd omdat Google gebruikers geen goede toestemming had gevraagd voor gepersonaliseerde advertenties. Dat is ook voor Google serieus geld.

Lees de rest van het interview 'Handhaving is prioriteit nummer 1' in het gratis magazine 'Eén jaar AVG'.

Dit artikel is ook te vinden in het dossier AVG

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.