Bewaren ‘voor het geval dat’ kan straks boetes opleveren

Privacy Over ruim een maand is de nieuwe privacywet van kracht. Het ontbreekt de Autoriteit Persoonsgegevens aan capaciteit om streng op de wet toe te zien.

Het is lastig te bevatten hoe ver de Algemene Verordening Gegevensbescherming (AVG) strekt. Sportverenigingen, zonnebanken, apotheken: elke organisatie met persoonsgegevens in huis heeft ermee te maken. Illustratie Arjen Born

Op een industrieterrein in het Zeeuwse Zierikzee staat een middelgroot bedrijf: YourSurprise. Het heeft z’n eigen fabrieksruimte op de begane grond en op de bovenverdieping een kantoor. Daar, aan een statafel, verzamelen zich vertegenwoordigers van de IT-afdeling, het bestuur, marketing en klantenservice. Sinds de zomer van vorig jaar komt dit geïmproviseerde werkgroepje elke week bij elkaar. Het gespreksonderwerp is altijd hetzelfde: privacy.

Webwinkel YourSurprise probeert net als duizenden andere organisaties in Nederland chocola te maken van de nieuwe privacywetgeving die eind mei van kracht wordt. Vanaf dan zijn alle organisaties die persoonsgegevens in huis hebben gebonden aan strenge privacyregels, met de dreiging van miljoenenboetes voor wie verzaakt.

YourSurprise ís persoonsgegevens. Het verdienmodel is dat klanten bij de webwinkel hun cadeau personaliseren met foto en tekst. Denk aan persoonlijke valentijnsbonbons of kinderfoto’s. Tegelijk heeft het bedrijf – 130 werknemers op de loonlijst – geen aparte juridische afdeling. Dat maakt de implementatie van de nieuwe privacywet een puzzel.

„We bewaren de foto’s die onze klanten uploaden momenteel zes maanden”, zegt hoofd technologie Arne Timmerman. „Zou dat te lang zijn?” „Nu gebeurt het al vaak dat een klant belt en informeert naar zijn foto’s, om ze opnieuw te gebruiken voor een cadeau”, zegt een collega van de klantenservice. „Dan moeten we zeggen: die hebben we niet meer, vanwege uw privacy.”

Een berg administratie

Vanaf 25 mei geldt de voor alle Nederlandse organisaties en bedrijven de strenge Algemene Verordening Gegevensbescherming (AVG). De privacyregels zijn daarbij flink aangescherpt. Organisaties moeten intern vastleggen welke persoonsgegevens zij precies bewaren, hoe lang al, welke ze met andere partijen delen en op welke juridische grondslagen dat allemaal gebeurt. Wie dat nog niet deed, moet nu opnieuw heel kritisch kijken naar alle persoonsgegevens in huis. Dat vervolgens in kaart brengen, betekent een berg administratie.

Lees ook: Veel bedrijven niet klaar voor nieuwe privacywet.

Bedrijven moeten ook hun klanten inzage geven in welke gegevens ze verwerken en waarom. Andersom moeten klanten hun gegevens bij bedrijven kunnen rectificeren, eenvoudig kunnen doorgeven aan een concurrent, of onder bepaalde omstandigheden zelfs verwijderen. Dat ‘vergeetrecht’ geldt nu nog alleen voor zoekmachines.

Veel organisaties lopen achter

De AVG zit er al jaren aan te komen. De afgelopen twee jaar gold de verordening al, maar waren er nog geen boetes of juridische gevolgen. Grote bedrijven zijn dus al een tijdje met de AVG bezig. Maar het onderwijs en gemeenten moeten een flinke inhaalslag maken. Ook kleine organisaties hebben het lastig. VNO-NCW en MKB-Nederland vroegen samen in januari in een brief aan de Tweede Kamer of de toezichthouder Autoriteit Persoonsgegevens het handhaven van de wet niet toch een jaar kon uitstellen.

Het is lastig te bevatten hoever de AVG strekt. Sportverenigingen, zonnestudio’s, apotheken: elke organisatie met persoonsgegevens in huis heeft ermee te maken. „Verenigingen met ledenbestanden lopen nog achter”, zegt Tom van Engers, hoogleraar juridisch kennismanagement aan de Universiteit van Amsterdam. „Vooral organisaties die geen geld hebben om zich juridisch te laten bijstaan.”

De grote vraag die boven de nieuwe privacywet hangt, is hoe serieus die zal worden genomen. Een groot deel van de wet blijft, ondanks enkele ingrijpende veranderingen, hetzelfde als de oude wet. En daarover bestonden veel misvattingen. „Veel organisaties dachten dat ze alleen aan de privacytoezichthouder hoefden te melden dat ze persoonsgegevens verwerken”, zegt Jeroen Terstegge van adviesbureau Privacy Management Partners.

De belangrijkste verandering is waarschijnlijk dat de drempel voor het opleggen van boetes lager wordt. De toezichthouder hoeft namelijk niet meer eerst dringend te waarschuwen bij het overtreden van de wet. Tegelijk zijn de nieuwe boetes fors: tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dat maakt de ‘oude’ privacyregels die blijven ineens net zo relevant voor het bedrijfsleven als de nieuwe.

Te klein voor te veel taken

Hoe serieus de privacywet wordt genomen, is grotendeels afhankelijk van de reputatie van de toezichthouder AP. In andere woorden: van de pakkans.

De AP is een kleine toezichthouder met een te groot takenpakket. In de tijd waarin handel in persoonsgegevens en andere data floreert, is de toezichthouder op deze handelswaar nog bezig met een inhaalslag. Er werken momenteel zo’n 140 werknemers. Een jaar geleden waren dat er nog 72. Daarvan is een aantal senior medewerkers vertrokken naar het bedrijfsleven, met lonkende tarieven, dat afgelopen tijd de nieuwe regels moest implementeren. Het huidige managementteam van de AP bestaat ook grotendeels uit nieuwe aanwas.

De handel in data floreert, maar de toezichthouder is nog bezig met een inhaalslag

Exemplarisch voor de achterstand is het gebrek aan boetes. Met enige tamtam werd bijvoorbeeld aangekondigd dat per januari 2016 een meldplicht zou worden ingesteld voor datalekken. In de herfst van 2016 liet Aleid Wolfsen, baas van de Autoriteit Persoonsgegevens, aan NU.nl weten dat er „tientallen onderzoeken” lopen naar de datalekken. „Die boetes zitten eraan te komen”, zei hij. Inmiddels zijn er ten minste vijftienduizend datalekken bij de toezichthouder gemeld. Maar de AP legde daarvoor nog nooit een boete op.

Van de nieuwe privacywet moet de AP straks álle klachten van individuen over privacy in behandeling nemen, waar ze tot op heden een deel kon laten liggen. Er komt met de zogeheten ‘PSD2’ deze zomer ook andere Europese privacywetgeving aan. Consumenten kunnen daarmee bijvoorbeeld hun rekening openstellen voor bedrijven. Controle op de flinke risico’s op datalekken die deze wet met zich meebrengt, rust ook op de schouders van de AP.

Bovendien vallen straks alle bedrijven met een hoofdkantoor in Nederland onder het gezag van de AP, ook als de klacht uit een ander Europees land komt.

Om behoorlijk toezicht te kunnen houden, zal de privacytoezichthouder enigszins leunen op zogeheten ‘functionarissen gegevensbeschermingen’. Alle overheidsorganisaties of organisaties die veel bijzondere persoonsgegevens verwerken, bijvoorbeeld over afkomst, moeten zo’n ‘fg’ aanwijzen, zo dicteert de nieuwe verordening. Het maakt de vraag om goed ingevoerde privacyexperts groter dan ooit.

Niet meer verzamelen dan nodig

De AP heeft aangekondigd na 25 mei in eerste instantie vooral te controleren of bedrijven inderdaad zo’n fg hebben aangesteld. De toezichthouder verwacht van hen weer dat zij toezien op hun eigen organisatie. Maar hier is duidelijk sprake van botsende belangen: een fg is in dienst van het bedrijf, niet van de AP. Bovendien: er is geen enkele kwaliteitstoets voor deze functionarissen. In theorie kan een baas naar een willekeurige medewerker wijzen, deze persoon aanmelden bij de toezichthouder en weer door naar het volgende agendapunt.

Als de AP ergens in uitblinkt, dan is het in niet-aanwezig zijn

Tom van Engers, hoogleraar UvA

Het is kortom de vraag hoe snel de AP voldoende slagkracht en capaciteit heeft. Bedrijven weten dat ook, zegt hoogleraar Van Engers. „Als de AP ergens in uitblinkt, dan is het in niet-aanwezig zijn.” Maar hij denkt wel dat de sanctie een behoorlijke stok achter de deur is. „Bedrijven zijn bang voor reputatieschade.”

Wie de nieuwe privacywet wel serieus neemt, staat vooral een cultuuromslag te wachten. Voorheen waren gegevensdragers, zoals een harde schijf, duur. Er was geen enkele reden om gegevens die bedrijven niet direct nodig hadden niet toch te bewaren. Maar in het tijdperk van goedkope opslag, bring your own device en allerlei technieken om data te analyseren, is er juist geen reden om overtollige gegevens niet ergens te stallen – ‘voor het geval dat’.

„Organisaties moeten bewust worden dat ze niet meer gegevens verzamelen dan nodig, niet langer bewaren dan nodig, nadenken over aan wie ze gegevens verstrekken en ze goed beveiligen”, zegt Terstegge.

Volgens de privacyexpert is er veel achterstallig onderhoud. „Zoals geen visie vanuit het bestuur op privacy of bescherming van persoongegevens”, zegt hij, „of een gekopieerd-geplakt privacystatement”. „Er moet ook tussen de oren komen dat mensen regelmatig hun wachtwoord veranderen of laptops niet zomaar in de auto laten liggen. Het is een cultuurverandering.”

In Zierikzee probeert YourSurprise te behappen wat ze kunnen verwachten na eind mei. „Gaan mensen straks hun concurrent aangeven?”, vraagt een medewerker zich af. „Als wij een klein foutje maken, hoe groot zijn de gevolgen dan?”

    • Liza van Lonkhuyzen