Ad van Loon, jurist bij Digital Me, vertelt dat uit voorlopige resultaten van hun eigen enqûete over het opvragen van persoonsgegevens blijkt dat ruim 60 procent van de Nederlanders voornemens is dat te doen. 'Dan gaat het met name om gegevens van sociale media en uit de zorgsector, dus patiëntgegevens. Tot mijn verbazing staan de banken op de laatste plaats', vertelt Van Loon.
Praktische problemen voor bedrijven
De AVG - ook bekend als GDPR in het Engels - is al ingegaan, de implementatieperiode loopt tot mei 2018. De belangrijkste praktische consequenties van die regelgeving zijn volgens Van Loon wat zowel bezitters van de gegevens en de personen zelf met de gegevens kunnen. 'Stel dat maar een fractie van de mensen gegevens op gaat vragen, ben je daar dan op voorbereid? Hoe ga je dat inrichten? Dat kan zomaar veel geld en tijd kosten. Vaak weten bedrijven ook niet waar de gegevens staan.' En denk aan de aansprakelijkheid: onder de AVG zijn organisaties vaker aansprakelijk voor zaken die misgaan. 'Je hebt een verantwoordingsplicht onder de nieuwe regelgeving en als je die niet goed invult, loop je risico's.'
Verantwoordelijkheid vs. aansprakelijkheid
Klanten van wie bedrijven persoonsgegevens verzamelen moet je bedienen als zij hun recht willen uitoefenen, legt Van Loon uit. 'Daar staan termijnen voor, als je je daar niet aan houdt krijg je een boete.' Als je daarnaast gegevens doorstuurt naar een andere organisatie, blijft het bedrijf dat ze verzamelde verantwoordelijk voor die informatiestroom. 'Dat wil je eigenlijk niet. Dat is precies het probleem van PSD2 bij de banken', zegt Van Loon. 'Die zijn verplicht andere bedrijven toegang te geven tot gegevens. Hoe zit het dan met verantwoordelijkheid en aansprakelijkheid?'
'Geef individu de tools eigen rechten uit te oefenen'
De algemene verordening gaat over gegevensbescherming in het algemeen, de e-privacyregels gaan specifiek over elektronische communicatie. Een voorbeeld: de algemene verordening stelt dat er geen toestemming nodig is voor direct marketing, vertelt Van Loon. 'Nu is die toestemming nog wel nodig, maar de e-privacyverordening draait het straks weer terug. Dan moet je straks wél toestemming vragen.' Van Loon vindt dat er een oplossing moet komen die bedrijven op dit vlak ontzorgt. Hij oppert een kader waarin mensen hun persoonsgegevens zelf kunnen beheren. Dan kunnen bedrijven eerder toestemming krijgen ze te gebruiken. 'Geef een individu de tools eigen rechten uit te oefenen.'
IT-journalist Brenno de Winter vraagt zich af of organisaties dit al kunnen. 'Dat is heel slecht geregeld. Mensen weten niet eens welke data ze in huis hebben. Dat moeten ze in mei wel kunnen aangeven. Dan moet dat allemaal gedocumenteerd zijn, wat en waar je wat hebt.' Hij vertelt nog over een addertje onder het gras: 'Nu moeten autoriteiten nog aantonen dat jij je zaken niet op orde hebt. Straks wordt dat omgedraaid: jij moet bewijzen dat je je zaakjes wel op orde hebt. En dan kan zo'n tool wel helpen.'