Sponsored content
Sponsored content

Vergeet wie ik ben. Dat moet van de nieuwe privacywet



Bedrijven weten meer van ons dan we denken. Des te meer een reden om zuinig te zijn op onze privacy. Burgers worden daarbij geholpen door een nieuwe Europese privacywet. Privacyexpert Jan-Jan Lowijs licht de wet toe en geeft bovendien zijn mening over andere privacyzaken.

Willen we dat iedereen altijd weet waar we zijn? Nee. Dat anderen onze bankgegevens en andere persoonlijke informatie hebben? Nee. Dat ongenode gasten zomaar in onze medische dossier kunnen rondneuzen? Driewerf nee.Gelukkig zijn er regels en wetten voor bedrijven die de privacy van burgers moeten beschermen. Puntje van aandacht: de laatste versie van die wet dateerde uit 1995. Ver voordat Facebook, Instagram en Twitter het licht zagen, clubs bij wie privacybescherming een grote rol speelt. Hoog tijd voor nieuwe wetgeving dus. “Op 17 december is de nieuwe Europese privacywetgeving gepubliceerd”, vertelt Jan-Jan Lowijs, Senior Adviseur bij Deloitte. “Daarin is de privacy van burgers beter beschermd. De wet bepaalt namelijk onder andere dat burgers het recht hebben ‘om te worden vergeten’.

Oftewel: als burger kun je een bedrijf verzoeken om informatie over jou weg te gooien. En bedrijven moeten daaraan gehoor geven, tenzij ze een heel goede reden hebben om die data over jou te bewaren. Een goed voorbeeld is een klantenprogramma van bijvoorbeeld een kledingzaak. Als een burger niet meer wil meedoen aan dat programma, kan hij die winkel – een fysieke winkel of een webshop – vragen om al zijn gegevens te wissen, inclusief spaarsaldo. Die winkel is dat vervolgens verplicht, want er is geen reden om die data te bewaren.” Burgers moeten er wel actief om vragen, want, zo zegt Lowijs: “Het is een recht van burgers, geen plicht voor bedrijven.”

Verder staat er in de wet dat bedrijven buiten de Europese Unie zich aan de Europese privacywet moeten houden als ze zich richten op burgers binnen de EU. Lowijs: “Dat geldt bijvoorbeeld voor een Braziliaanse webwinkel die via een Nederlandstalige site producten verkoopt aan Nederlanders.”De wet gaat niet onmiddellijk in: bedrijven – en overheden – hebben nog zo’n twee jaar om zich voor te bereiden.

Hallo, u bent gehackt

Per 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht. Mochten bedrijven het tot nu toe stil houden als gegevens van klanten waren vernietigd of gehackt, met de nieuwe wet mag dat niet meer. “Als er iets misgaat met persoonsgegevens zijn bedrijven verplicht dat aan de Autoriteit Persoonsgegevens te melden”, zegt Lowijs. “Die kan dan eventueel een onderzoek instellen of maatregelen nemen. Als klanten zelf ernstig nadeel kunnen hebben van wat er is gebeurd, dan moeten bedrijven ook hun klanten inlichten: dit is er gebeurd, dit kunt u doen, op deze manier kunt u contact met ons opnemen. Met die informatie kunnen mensen zich wapenen en zijn ze niet overgeleverd aan de hackers.” Dat was afgelopen oktober in Engeland nog wél het geval. Hackers hadden klantgegevens van internetprovider TalkTalk buitgemaakt. Namen, adressen, bankrekeningen, alles erop en eraan. Vervolgens belden de hackers klanten op om ze zogenaamd in te lichten over de hack. Klanten werd gevraagd in te loggen en de hackers toestemming te geven om mee te kijken op hun scherm. Vervolgens moesten ze hun bankrekening bevestigen door geld over te maken. Lowijs: “Als TalkTalk verplicht was geweest klanten te informeren, was de schade aanzienlijk kleiner geweest. Ik hoop dat we dit soort extremiteiten niet meer zien in 2016.”

“Wat vindt mijn klant ervan als ik zijn gegevens voor dit doeleinde gebruik?”

Uw DNA graag

Iets anders wat Lowijs liever niet meer ziet, is de function creep: dat gegevens voor compleet andere doeleinden worden gebruikt dan waar ze oorspronkelijk voor waren bedoeld. Lowijs: “Het beste voorbeeld in 2015 gaat over twee Amerikaanse bedrijven die voor een klein bedrag een analyse maken van je DNA. Weten wie je voorouders zijn, genetische ziektes opsporen, je gegevens aan de wetenschap ter beschikking stellen: het kan allemaal. Klinkt leuk, totdat de FBI toegang wilde tot de database van die bedrijven. En wel om te kijken of DNA uit de databases overeenkomt met DNA dat is gevonden op plaatsen delict. Daar waren die gegevens oorspronkelijk natuurlijk niet voor bedoeld.”
Lowijs pleit ervoor dat individuen goed nadenken over wat er met hun data kan gebeuren, maar vooral dat bedrijven daar meer aandacht aan besteden. “Een zogeheten abuse analysis, om nog maar eens een mooi Nederlands woord te gebruiken”, zegt hij. “Wat zijn de consequenties van wat je aanbiedt, hoe bescherm je de data die je genereert en wat doe je ermee?”

In dit geval levert het de twee bedrijven aanzienlijke reputatieschade op, maar ga je goed om met privacy van je klanten, dan kun je enorm veel vertrouwen opbouwen. “Ten eerste moet je je houden aan de privacywetgeving, maar daarnaast genereer je vertrouwen door je bijvoorbeeld nadrukkelijk en openlijk af te zetten tegen het hergebruik van data van je klanten, door heel transparant te zijn, door de beveiliging van je gegevens goed op orde te hebben en door je voortdurend af te vragen: wat vindt mijn klant ervan als ik zijn gegevens voor dit doeleinde gebruik?” Heb je deze zaken als bedrijf goed op orde, dan, zo zegt Lowijs, kan dat juist klandizie opleveren, omdat klanten die privacyaanpak waarderen.

“Oordeel van het rechter: Amerika is geen ‘veilige haven’ voor persoonsgegevens”

Amerika neust graag rond

Dan was er in oktober 2015 nog de kwestie Safe Harbor. Het Europese Hof van Justitie haalde rigoureus een streep door die constructie, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen. Oordeel van het rechter: Amerika is geen ‘veilige haven’ voor persoonsgegevens, dus Safe Harbor is ongeldig. “De consequentie is dat bedrijven niet meer op die basis gegevens van Europese klanten mogen opslaan in de Verenigde Staten”, zegt Lowijs. “De privacybescherming van die gegevens is namelijk niet in orde, omdat in Amerika andere wetten en gebruiken gelden dan in Europa als het gaat om spitten in persoonsgegevens. Het FBI-voorbeeld zegt denk ik genoeg.” Lowijs is vóór bescherming van privacy, maar zegt ook dat de situatie voor veel bedrijven nu ontzettend onhandig is. “Europese en Amerikaanse politici werken aan een oplossing. Als het goed is, horen we eind januari wat ze hebben bedacht. Het laatste woord is er nog niet over gezegd, dat is in elk geval duidelijk.”

Tips voor privacybescherming
Burgers en privacy: wees kritisch over welke gegevens je met wie deelt. Korting in ruil voor je e-mailadres? Een legitieme ruil als je je abonneert op een nieuwsbrief. Wil het bedrijf in kwestie ook je adres, geboortedatum en bankrekeningnummer weten? Misschien nog eens overwegen. En je klacht kenbaar maken aan het bedrijf.
Bedrijven en privacy: wees transparant over wat je doet met klantgegevens en communiceer daarover. Het komt toch altijd uit. Verwacht je gedoe als je je bekendmaakt hoe je die klantgegevens gebruikt? Dan moet je je beleid nog eens heroverwegen. Stel jezelf de vraag: zou je dit ook met je eigen gegevens doen? Ja? En met die van je partner? En je kinderen?

Wil je met Jan-Jan Lowijs van gedachten wisselen over dit onderwerp? Neem dan contact met hem op.