Dit verandert er door de nieuwe privacywet

Zeven trends

We worden om de oren geslagen met nieuwe voorwaarden vanwege de nieuwe privacywet. Wat verandert er concreet?

Illustratie Stella Smienk

Vier jaar onderhandelen door 28 lidstaten, een record van 3.999 amendementen en twee jaar implementatieperiode. Op 25 mei is het zo ver: de nieuwe privacyregels uit de Europese Unie gaan van kracht. Daarin staat bijvoorbeeld dat bedrijven heel duidelijk moeten zijn over hoe ze met persoonsgegevens omgaan. Het moet makkelijk zijn om toestemming voor het gebruik van persoonsgegevens weer in te trekken. Voor grove privacyschendingen kan de toezichthouder Autoriteit Persoonsgegevens boetes uitdelen tot 4 procent van de wereldwijde jaaromzet.

De nieuwe wet is de reden dat allerlei diensten nu aandacht vragen voor hun nieuwe privacybeleid of toestemming voor hun voorwaarden. Daardoor krijgen we langzaam een beeld van wat er eind deze maand concreet verandert. Wat doen de organisaties waar we het meest gebruik van maken straks anders als het om onze privacy gaat? Een analyse in zeven trends.

1. Meer data aftroggelen

De meest opvallende nieuwe voorwaarden komen van datagrootmacht Facebook. De nieuwe privacywetgeving was deels bedoeld om de datahonger van de techreuzen enigszins tegen te gaan. Maar Facebook grijpt de Europese Verordening ook aan om méér data af te troggelen, door Europeanen te laten instemmen met gezichtsherkenning. Dat is een functie waarbij Facebook een code aan het gezicht koppelt waarmee het mensen op foto’s kan identificeren.

In 2011 werd gezichtsherkenning stilletjes geïntroduceerd door Facebook, maar na druk van de Europese Unie weer uitgezet. Juist omdat gebruikers géén toestemming hadden gegeven. Nu grijpt Facebook z’n kans om gebruikers alsnog gezichtsherkenning te laten accepteren.

Dat doet het bedrijf terwijl het publiek door de nieuwe privacyvoorwaarden wordt geloodst, waarbij gebruikers steeds op aantrekkelijke blauwe ‘accepteren en verder’-knoppen klikt. Wie twijfelt, kan via de onopvallende grijze ‘manage data-settings’-knop de instellingen aanpassen. Mocht je per ongeluk al op ‘akkoord’ hebben gedrukt en toch van gezichtsherkenning af willen, dat kan achteraf nog via de instellingen.

Een ander voorbeeld is dat gebruikers van Whatsapp – eigendom van Facebook – vorige week in hun gebruikersvoorwaarden konden lezen dat het bedrijf „in de toekomst nauwer wil samenwerken” met andere Facebookbedrijven. Daarmee zegt het bedrijf vermoedelijk dat het Facebookdata uit Whatsapp wil gebruiken voor gepersonaliseerde advertenties, hoewel Facebookoprichter Mark Zuckerberg in 2014 nog expliciet ontkende dat dit zou gebeuren.

De inhoud van gesprekken kan Whatsapp vanwege de versleuteling niet lezen, maar het bedrijf heeft wel de metadata. Oftewel: met wie je berichten uitwisselt, hoe laat en vanaf welke locatie. Bij Whatsapp is de voorwaarden accepteren de enige optie als je van de dienst gebruik wilt blijven maken.

2. Een beetje meer controle voor gebruikers

Hier en daar krijgt de gebruiker daadwerkelijk meer controle. Zo geeft LinkedIn meer opties om tracking en gepersonaliseerde advertenties tegen te gaan. En zo zegt Facebook aan een Clear History-functie te werken. Deze functie toont welke gegevens Facebook via andere apps en websites heeft verzameld door je online met cookies te volgen. Facebook belooft dat gebruikers hun geschiedenis kunnen wissen.

3. Kinderen worden (een beetje) beschermd

In de nieuwe privacyregels staat dat kinderen zestien jaar en ouder moeten zijn om zelf een rechtsgeldige toestemming te geven voor het gebruik van hun persoonsgegevens. Landen krijgen de mogelijkheid om deze leeftijdsgrens te verlagen, maar Nederland heeft dat niet gedaan. Techbedrijven moeten dus ook ‘iets’ met deze nieuwe leeftijdsgrens.

Microsoft is begonnen met het weren van kinderen, tenzij ze toestemming hebben van een ouder. Facebook kiest ervoor bij jongeren tussen de dertien en vijftien jaar gezichtsherkenning uit te zetten. Ook moeten ze toestemming vragen aan hun ouders om het platform te gebruiken. De minimumleeftijd voor gebruikers van Whatsapp wordt voor Europeanen zestien jaar.

Dat klinkt allemaal voortvarend, maar een flinke kanttekening is op zijn plaats. Gebruikers van Whatsapp hoeven alleen te bevestigen dat ze ouder dan vijftien zijn. Daarbij hoeven ze niet eens hun geboortedatum in te vullen. Bij Facebook is de leeftijdscontrole niet veel beter. Tieners hoeven slechts één van hun Facebookvrienden te selecteren, aan wie het medium vervolgens vraagt of ze ouder dan zestien zijn. Niemand controleert of dat een ouder is. Jonge Facebookgebruikers kunnen ook een e-mailadres opgeven, waarbij weer niemand controleert van wie dat is.

4. Veel bedrijven zijn te laat

De Belastingdienst heeft laten weten niet op tijd klaar te zijn met maatregelen voor de nieuwe wet. Donderdag kondigde Pieter Omtzigt (CDA) daarom Kamervragen aan: wanneer is de dienst met persoonsgegevens van miljoenen Nederlanders dan wél klaar?

Bij de huidige privacywetgeving liet de Belastingdienst al steken vallen. In die wet, net zoals in de nieuwe, staat dat gebruikers een overzicht mogen opvragen van de gegevens die een organisatie over ze bewaart. Privacy-advocaat Otto Volgenant van het Amsterdamse Boekx advocaten probeerde dat in 2015 uit. Pas nadat de Amsterdamse rechtbank de advocaat jaren later gelijk gaf, was de Belastingdienst bereid om de gegevens van Volgenant bij elkaar te zoeken.

Ondernemersvereniging VNO-NCW en MKB Nederland erkennen dat veel zowel grote als kleine bedrijven de deadline van 25 mei niet gaan halen. Uit een peiling van MKB Servicedesk bleek zelfs dat meer dan zeven op de tien MKB-bedrijven nog niet genoeg maatregelen hebben genomen.

5. Alsnog om toestemming vragen

Er komt een dringende mail binnen over de „kans om ook in de toekomst als eerste op de hoogte te zijn”. Afzender: Amsterdams poppodium de Melkweg. Een ander bedrijf mailt ook bezorgd: „Oei, je krijgt geen inspiratiemails meer.” Deze komt van opleider Schouten & Nelissen. In de mail staat een grote, rode knop: „Ja, blijf mij inspireren.

Veel bedrijven informeren nu of je wel blij bent om van ze te horen. Organisaties komen er door de nieuwe privacywetgeving namelijk achter dat ze mogelijk niet voldoende juridische basis hebben om nieuwsbrieven te sturen. Bedrijven moeten voor het versturen van zulke mails expliciete toestemming vragen via het bekende ‘opt-in’-vakje, ook een checkbox genoemd. Dat moest overigens al jaren op die manier. Het kan dat organisaties het zekere voor het onzekere nemen vanwege de hoge boetes, en nog eens extra om toestemming vragen.

Illustratie Stella Smienk

6. Betere uitleg van privacybeleid

Google voert geen grote veranderingen door, maar probeert wel conform de nieuwe privacywetgeving helder uit te leggen wat met persoonsgegevens gebeurt. De zoekgigant doet dat met duidelijke tekst, illustraties en uitlegvideo’s.

Facebook doet ook erg z’n best om gebruikers – bewust en onbewust – te overtuigen alle door hen bedachte voorwaarden te accepteren. In de privacywet staat dat iemand „vrijelijk, specifiek, geïnformeerd en ondubbelzinnig” moet instemmen met het verwerken van persoonsgegevens. Het zal voer zijn voor juristen of de toestemming voor de nieuwe voorwaarden van Facebook daaronder valt.

7. Sommige diensten zijn niet langer beschikbaar

In plaats van boetes te riskeren, kiezen sommige bedrijven er simpelweg voor Europese gebruikers te weren. Zoals Unroll.me. Deze Amerikaanse dienst helpt mensen hun mailbox op te schonen. Minder duidelijk vermeldde het bedrijf dat het gegevens uit je mailbox doorverkocht aan bedrijven zoals Uber. Unroll.me meldt nu op zijn site dat het niet „ontworpen” is om aan deze nieuwe privacyvoorwaarden te voldoen. Daarom is het niet meer beschikbaar voor Europeanen.

Eén start-up speelt hier zelfs op in en noemt zich onomwonden ‘GDPR Shield’: de dienst werpt een blokkade op om Europese gebruikers te weren en zo veilig te blijven voor boetes.