feedback ebooks

Feedback: Welkom bij de AVG

Vanaf vandaag, 25 mei 2018, is de Algemene Verordening Gegevensbescherming (AVG) in Nederland in werking getreden, net als dus de Europese General Data Protection Regulation – bijna – wereldwijd. En het is onmogelijk dat je hier niets van gemerkt hebt de afgelopen weken. Tijd om het even te hebben over de ‘privacy-mania’ die uitgebroken lijkt te zijn.

“Het is dus toch zover gekomen”, zong Doe Maar al in het begin van de jaren 80 van de vorige eeuw. Twee jaar nadat in het Europees Parlement de General Data Protection Regulation is goedgekeurd, en de deadline voor de invoering ervan in de Europese lidstaten op 25 mei 2018 werd gezet, is vandaag de nieuwe privacywetgeving van kracht geworden.

In het Nederland is het de Algemene Verordening Gegevensbescherming (AVG) die de oude Wet bescherming persoonsgegevens vervangt (samen met de recentelijk aangenomen Uitvoeringswet AVG die een aantal voor Nederland specifieke zaken regelt). Met eigenlijk een paar hele eenvoudige uitgangspunten: meer en sterkere privacyrechten voor burgers en meer verplichtingen voor organisaties om zorgvuldig met persoonsgegevens om te gaan.

Het moet echt!

Om er voor te zorgen dat bedrijven, instellingen en de lokale voetbalclub daadwerkelijk in actie komen om zorgvuldig met persoonsgegevens om te gaan – en er daarmee voor te zorgen dat mensen hun privacyrechten kunnen uitoefenen – ligt er meer nadruk dan ooit op handhaving en sancties. In elk land is er een toezichthoudend orgaan aangewezen (de Autoriteit Persoonsgegevens in Nederland), elke organisatie die structureel persoonsgegevens verwerkt moet een functionaris persoonsgegevens aanstellen en de wetgeving voorziet in stevige boetes als organisaties zich niet aan de nieuwe privacyspelregels houden.

Ondanks dat het traject naar de strengere wetgeving al in 2016 begon, voelden organisaties eigenlijk pas in de tweede helft van 2017 de urgentie om er mee aan de slag te gaan. Door het datalek van Cambridge Analytica ontstond er vervolgens begin 2018 ook nog eens een wereldwijde discussie over privacy(bescherming) en buitelden alle grote bedrijven en webdiensten over elkaar heen om te benadrukken hoe belangrijk de privacy van gebruikers voor hun is. Facebook en Microsoft kondigden aan de Europese privacyregels wereldwijd toe te gaan passen en zo’n beetje alle websites-met-gebruikers konden niet achterblijven met het bijwerken van hun privacyvoorwaarden en het communiceren naar al die gebruikers over hoe goed ze bezig zijn met privacy.

En wauw, wat is het uiteindelijk een circus geworden in de aanloop naar vandaag. Want met alleen een hele uitgebreide wettekst (PDF) krijg je geen enkele praktische handvatten aangereikt om ook te voldoen aan deze wetten. Dat is ook niet hoe wetten bedoeld zijn natuurlijk maar als er met boetes ‘gedreigd’ wordt en – nog erger – slechte PR omdat je gebruikers denken dat je het onderwerp niet belangrijk vindt, dan gaat iedereen op zoek naar een checklist met “dingen die je nu moet regelen om aan de wet te voldoen”.

AVG gedoe

Nummer één van de Sores-top 10 moet toch wel het idiote idee zijn dat het voor iedereen met een nieuwsbrief of mailinglijst nodig is om iedereen die hierop ingeschreven is, opnieuw om toestemming te vragen. Want tja, je moet kunnen aantonen dat mensen zich vrijwillig zelf ingeschreven hebben en hoe doe je dat dan? Dan maar iedereen opnieuw vragen!

Mijn mailbox (en die van iedereen neem ik aan) liep vol met verzoeken om inschrijvingen op nieuwsbrieven opnieuw te bevestigen. Wat ik zelf vooral als een perfecte gelegenheid zag om van al die nieuwsbrieven af te komen.

Minder blij was ik met de aankondiging dat de NEDBIB-L lijst voor bibliothecarissen wel eens (tijdelijk) zou kunnen gaan verdwijnen door de AVG. Ik werd door meerdere collega’s gevraagd of ik de beheerder van geruststellende antwoorden kon voorzien en dat heb ik ook geprobeerd te doen. Maar ja, garanties en definitieve uitspraken kon ik natuurlijk niet geven want die kan niemand geven zolang onduidelijk is of en hoe er uberhaupt gecontroleerd gaat worden op dit soort lijsten. Of de mailinglijst waar ik al een kwart eeuw op geabonneerd ben nog werkt na vandaag, valt daarmee ook nog te bezien.

Mailtjes genoeg

Ik denk dat iedere Nederlander trouwens de buik wel vol heeft van mailtjes. De afgelopen maanden hebben we namelijk genoeg mailtjes gehad. Ongeveer elke website waar je ooit een account voor hebt aangemaakt vond het nodig je een mail te sturen met de aankondiging van het nieuwe privacybeleid. Alsof iemand ooit de oude voorwaarden gelezen heeft ….

En het werd nog veel gekker want één van de webdiensten die ik regelmatig gebruik wil het risico niet eens lopen dat ze in de problemen komen. Instapaper heeft zijn gebruikers in de EU doodleuk de toegang ontzegd. Tijdelijk zeggen ze maar hoe lang moet ik het nu zonder die dienst doen?

instapaper avg

Bloggers

Hoog op mijn ‘Maken we ons hier echt druk om?’-lijstje staan alle vragen van bloggers over hoe ze aan de wetgeving moeten voldoen. Met miljoenen (hobby)bloggers wereldwijd die voornamelijk en alleen persoonsgegevens verwerken omdat mensen hun gegevens invullen bij het reageren op blogposts – vrijwillig overigens – ben ik er van overtuigd dat je met een beetje nadenken over privacy en die gedachtes vervolgens in een privacyverklaring te stoppen, al een heel eind bent.

Ik besteedde een uurtje aan de mijne (omdat ik Google Analytics vorig jaar al aangepast had en tevens overgestapt was naar het veel beter beveiligde ProtonMail) en kreeg meteen een nieuwe reeks mailtjes van bloggers die het graag 1 op 1 over wilden nemen. Sommigen lieten de linkjes naar mijn contactformulier en mijn mailadres doodleuk in de tekst staan op hun blogs.

Het ging sommige bloggers echter niet ver genoeg met een privacyverklaring en die probeerden verwerkersovereenkomsten met de makers van de themes, plugins en andere diensten te sluiten waar hun blog gebruik van maakt. Arnoud schreef een interessant stuk waarin hij betoogt dat bloggers onder de journalistieke uitzondering vallen – waar ik het mee eens ben – maar desondanks wel een verwerkingsregister moeten opzetten.

Ik zie een totaal nieuwe markt ontstaan voor juridische dienstverlening aan die miljoenen hobbybloggers maar ben pas overtuigd dat het nodig is als de Autoriteit Persoonsgegevens aangeeft dat elke blogger echt een register moet kunnen overhandigen. Wat overigens de doodsteek voor het hobbybloggen gaat betekenen maar dat is dan een blogpost voor later.

Autoriteit

Wat gaat de Autoriteit Persoonsgegevens doen? Wie gaan ze controleren? Wat gaan ze dan controleren? Wat is de pakkans als ik het nog niet goed voor elkaar heb?

En dat weet dus niemand. De AP heeft al aangegeven dat ze qua mankracht helemaal de AVG niet kunnen handhaven in Nederland en hoewel ze benadrukken dat de regels voor iedereen gelden – wat klopt – zijn ze heel zorgvuldig in het vermijden van concrete uitspraken over waar ze mee aan de slag gaan vanaf vandaag. Ik hoop natuurlijk dat ze niet een register van me willen zien maar vermoed dat ze andere prioriteiten hebben dan dit blog.

Maar het gaat nu tenminste wel over privacy

Je zou nu kunnen denken dat ik al die aandacht voor privacy wat overdreven vind. Maar dat is niet zo. Organisaties schieten een beetje door mijns inziens maar het is voor het eerst dat iedereen met een website, een blog of een nieuwsbrief nadenkt over hoe ze netjes met de gegevens van lezers, gebruikers of abonnees moeten omgaan. En het is voor het eerst dat de mensen nu verwachten dat bedrijven, instellingen en organisaties er ook echt wat aan doen.

Kort gezegd is iedereen nu meer privacybewust en dat vind ik een grote winst voor de hele samenleving.

Nu moeten we alleen nog wat praktischer leren omgaan met dit onderwerp zodat we niet de hele dag gevraagd worden om toestemming te geven aan de diensten en websites die we gebruiken. Of dat we platgespamd worden met mailtjes van bedrijven die willen benadrukken dat onze privacy zo belangrijk voor hun is.

In Feedback geef ik mijn mening over uitspraken van anderen, nieuws en ontwikkelingen zonder dat ik aan het researchen en factchecken sla. Laat gerust weten wat jij vindt in de reacties hieronder.

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

Comments (6) Write a comment

  1. Zelf wil ik geen persoonsgegevens ontvangen van reageerders. Dus vraag ik ze al een tijdje om geen mailadres en geen eigen naamin te vullen, maar alleen een schuilnaam. Eigenlijk wat ik hier doe.

    Reply

    • Yes. Of je er ooit op aangesproken gaat worden is een andere discussie maar je moet minimaal inzichtelijk maken wat je doet met de persoonsgegevens van mensen die je blog bezoeken. Een privacyverklaring waarin je dat toelicht is (mijns inziens) meer dan voldoende.

      Reply

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2018 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top