Vanaf vandaag, 25 mei 2018, is de Algemene Verordening Gegevensbescherming (AVG) in Nederland in werking getreden, net als dus de Europese General Data Protection Regulation – bijna – wereldwijd. En het is onmogelijk dat je hier niets van gemerkt hebt de afgelopen weken. Tijd om het even te hebben over de ‘privacy-mania’ die uitgebroken lijkt te zijn.
“Het is dus toch zover gekomen”, zong Doe Maar al in het begin van de jaren 80 van de vorige eeuw. Twee jaar nadat in het Europees Parlement de General Data Protection Regulation is goedgekeurd, en de deadline voor de invoering ervan in de Europese lidstaten op 25 mei 2018 werd gezet, is vandaag de nieuwe privacywetgeving van kracht geworden.
In het Nederland is het de Algemene Verordening Gegevensbescherming (AVG) die de oude Wet bescherming persoonsgegevens vervangt (samen met de recentelijk aangenomen Uitvoeringswet AVG die een aantal voor Nederland specifieke zaken regelt). Met eigenlijk een paar hele eenvoudige uitgangspunten: meer en sterkere privacyrechten voor burgers en meer verplichtingen voor organisaties om zorgvuldig met persoonsgegevens om te gaan.
Het moet echt!
Om er voor te zorgen dat bedrijven, instellingen en de lokale voetbalclub daadwerkelijk in actie komen om zorgvuldig met persoonsgegevens om te gaan – en er daarmee voor te zorgen dat mensen hun privacyrechten kunnen uitoefenen – ligt er meer nadruk dan ooit op handhaving en sancties. In elk land is er een toezichthoudend orgaan aangewezen (de Autoriteit Persoonsgegevens in Nederland), elke organisatie die structureel persoonsgegevens verwerkt moet een functionaris persoonsgegevens aanstellen en de wetgeving voorziet in stevige boetes als organisaties zich niet aan de nieuwe privacyspelregels houden.
Ondanks dat het traject naar de strengere wetgeving al in 2016 begon, voelden organisaties eigenlijk pas in de tweede helft van 2017 de urgentie om er mee aan de slag te gaan. Door het datalek van Cambridge Analytica ontstond er vervolgens begin 2018 ook nog eens een wereldwijde discussie over privacy(bescherming) en buitelden alle grote bedrijven en webdiensten over elkaar heen om te benadrukken hoe belangrijk de privacy van gebruikers voor hun is. Facebook en Microsoft kondigden aan de Europese privacyregels wereldwijd toe te gaan passen en zo’n beetje alle websites-met-gebruikers konden niet achterblijven met het bijwerken van hun privacyvoorwaarden en het communiceren naar al die gebruikers over hoe goed ze bezig zijn met privacy.
En wauw, wat is het uiteindelijk een circus geworden in de aanloop naar vandaag. Want met alleen een hele uitgebreide wettekst (PDF) krijg je geen enkele praktische handvatten aangereikt om ook te voldoen aan deze wetten. Dat is ook niet hoe wetten bedoeld zijn natuurlijk maar als er met boetes ‘gedreigd’ wordt en – nog erger – slechte PR omdat je gebruikers denken dat je het onderwerp niet belangrijk vindt, dan gaat iedereen op zoek naar een checklist met “dingen die je nu moet regelen om aan de wet te voldoen”.
AVG gedoe
Nummer één van de Sores-top 10 moet toch wel het idiote idee zijn dat het voor iedereen met een nieuwsbrief of mailinglijst nodig is om iedereen die hierop ingeschreven is, opnieuw om toestemming te vragen. Want tja, je moet kunnen aantonen dat mensen zich vrijwillig zelf ingeschreven hebben en hoe doe je dat dan? Dan maar iedereen opnieuw vragen!
Mijn mailbox (en die van iedereen neem ik aan) liep vol met verzoeken om inschrijvingen op nieuwsbrieven opnieuw te bevestigen. Wat ik zelf vooral als een perfecte gelegenheid zag om van al die nieuwsbrieven af te komen.
Minder blij was ik met de aankondiging dat de NEDBIB-L lijst voor bibliothecarissen wel eens (tijdelijk) zou kunnen gaan verdwijnen door de AVG. Ik werd door meerdere collega’s gevraagd of ik de beheerder van geruststellende antwoorden kon voorzien en dat heb ik ook geprobeerd te doen. Maar ja, garanties en definitieve uitspraken kon ik natuurlijk niet geven want die kan niemand geven zolang onduidelijk is of en hoe er uberhaupt gecontroleerd gaat worden op dit soort lijsten. Of de mailinglijst waar ik al een kwart eeuw op geabonneerd ben nog werkt na vandaag, valt daarmee ook nog te bezien.
Mailtjes genoeg
Ik denk dat iedere Nederlander trouwens de buik wel vol heeft van mailtjes. De afgelopen maanden hebben we namelijk genoeg mailtjes gehad. Ongeveer elke website waar je ooit een account voor hebt aangemaakt vond het nodig je een mail te sturen met de aankondiging van het nieuwe privacybeleid. Alsof iemand ooit de oude voorwaarden gelezen heeft ….
Champagne! Volgens mij heb ik de 100ste GDPR/AVG mail binnengekregen.
— Raymond Snijders (@rsnijders) May 23, 2018
Nou weet ik dus wat de prijs is van 11 jaar lang voor je blog bijna elke webdienst uitproberen die er is.
GDPR/AVG mailtjes krijgen van elke webdienst die op 25 mei 2018 nog bestaat.
— Raymond Snijders (@rsnijders) May 23, 2018
En het werd nog veel gekker want één van de webdiensten die ik regelmatig gebruik wil het risico niet eens lopen dat ze in de problemen komen. Instapaper heeft zijn gebruikers in de EU doodleuk de toegang ontzegd. Tijdelijk zeggen ze maar hoe lang moet ik het nu zonder die dienst doen?
Bloggers
Hoog op mijn ‘Maken we ons hier echt druk om?’-lijstje staan alle vragen van bloggers over hoe ze aan de wetgeving moeten voldoen. Met miljoenen (hobby)bloggers wereldwijd die voornamelijk en alleen persoonsgegevens verwerken omdat mensen hun gegevens invullen bij het reageren op blogposts – vrijwillig overigens – ben ik er van overtuigd dat je met een beetje nadenken over privacy en die gedachtes vervolgens in een privacyverklaring te stoppen, al een heel eind bent.
Ik besteedde een uurtje aan de mijne (omdat ik Google Analytics vorig jaar al aangepast had en tevens overgestapt was naar het veel beter beveiligde ProtonMail) en kreeg meteen een nieuwe reeks mailtjes van bloggers die het graag 1 op 1 over wilden nemen. Sommigen lieten de linkjes naar mijn contactformulier en mijn mailadres doodleuk in de tekst staan op hun blogs.
Het ging sommige bloggers echter niet ver genoeg met een privacyverklaring en die probeerden verwerkersovereenkomsten met de makers van de themes, plugins en andere diensten te sluiten waar hun blog gebruik van maakt. Arnoud schreef een interessant stuk waarin hij betoogt dat bloggers onder de journalistieke uitzondering vallen – waar ik het mee eens ben – maar desondanks wel een verwerkingsregister moeten opzetten.
Ik zie een totaal nieuwe markt ontstaan voor juridische dienstverlening aan die miljoenen hobbybloggers maar ben pas overtuigd dat het nodig is als de Autoriteit Persoonsgegevens aangeeft dat elke blogger echt een register moet kunnen overhandigen. Wat overigens de doodsteek voor het hobbybloggen gaat betekenen maar dat is dan een blogpost voor later.
Autoriteit
Wat gaat de Autoriteit Persoonsgegevens doen? Wie gaan ze controleren? Wat gaan ze dan controleren? Wat is de pakkans als ik het nog niet goed voor elkaar heb?
En dat weet dus niemand. De AP heeft al aangegeven dat ze qua mankracht helemaal de AVG niet kunnen handhaven in Nederland en hoewel ze benadrukken dat de regels voor iedereen gelden – wat klopt – zijn ze heel zorgvuldig in het vermijden van concrete uitspraken over waar ze mee aan de slag gaan vanaf vandaag. Ik hoop natuurlijk dat ze niet een register van me willen zien maar vermoed dat ze andere prioriteiten hebben dan dit blog.
Maar het gaat nu tenminste wel over privacy
Je zou nu kunnen denken dat ik al die aandacht voor privacy wat overdreven vind. Maar dat is niet zo. Organisaties schieten een beetje door mijns inziens maar het is voor het eerst dat iedereen met een website, een blog of een nieuwsbrief nadenkt over hoe ze netjes met de gegevens van lezers, gebruikers of abonnees moeten omgaan. En het is voor het eerst dat de mensen nu verwachten dat bedrijven, instellingen en organisaties er ook echt wat aan doen.
Kort gezegd is iedereen nu meer privacybewust en dat vind ik een grote winst voor de hele samenleving.
Nu moeten we alleen nog wat praktischer leren omgaan met dit onderwerp zodat we niet de hele dag gevraagd worden om toestemming te geven aan de diensten en websites die we gebruiken. Of dat we platgespamd worden met mailtjes van bedrijven die willen benadrukken dat onze privacy zo belangrijk voor hun is.
In Feedback geef ik mijn mening over uitspraken van anderen, nieuws en ontwikkelingen zonder dat ik aan het researchen en factchecken sla. Laat gerust weten wat jij vindt in de reacties hieronder.
#
[Vakblog] Feedback: Welkom bij de AVG https://t.co/2xTDI2QqTH
Zelf wil ik geen persoonsgegevens ontvangen van reageerders. Dus vraag ik ze al een tijdje om geen mailadres en geen eigen naamin te vullen, maar alleen een schuilnaam. Eigenlijk wat ik hier doe.
RT @rsnijders: [Vakblog] Feedback: Welkom bij de AVG https://t.co/2xTDI2QqTH
Net las ik dat er een aantal Amerikaanse nieuwssites niet zijn te bereiken in Europa.
https://mashable.com/2018/05/25/gdpr-blocked-us-news-sites/?utm_cid=hp-h-2#s5_zWBGPDkqD
Die hebben het dus kennelijk nog niet voor elkaar.
Maar ik moet er dus wel iets mee als hobby blogger?
Yes. Of je er ooit op aangesproken gaat worden is een andere discussie maar je moet minimaal inzichtelijk maken wat je doet met de persoonsgegevens van mensen die je blog bezoeken. Een privacyverklaring waarin je dat toelicht is (mijns inziens) meer dan voldoende.