:format(webp)/s3/static.nrc.nl/bvhw/files/2018/07/data33735734-d8ea6c.jpg)
Sommige organisaties zijn wel héél terughoudend geworden met persoonsgevens. Dat blijkt nu de Algemene Verordening Gegevensbescherming (AVG) ruim een maand van kracht is.
De nieuwe wet zou gebruikers meer controle en bescherming moeten geven over wat er met persoonsgegevens gebeurt. Maar doordat de regels ingewikkeld en breed te interpreteren zijn, zorgen ze bij (vooral kleinere) organisaties voor angst. De dreiging van boetes die kunnen oplopen tot 20 miljoen euro, helpen daar niet bij.
Strenge praktijk
Door gebrek aan gegevens kan het Rathenau Instituut bijvoorbeeld voorlopig geen rapport uitbrengen over de benoemingen van vrouwelijke hoogleraren. Dit jaar krijgt het de gegevens over het carrièreverloop van wetenschappers niet van de Vereniging van Universiteiten, ondanks dat de informatie geanonimiseerd is. Sommige universiteiten willen ze ‘wegens de nieuwe privacywet’ niet geven.
Het instituut rekent elk jaar uit hoeveel jaar na hun promotie vrouwen en mannen gemiddeld benoemd worden tot hoogleraar. Uit het onderzoek van vorig jaar bleek dat vrouwen op gemiddeld twee jaar jongere leeftijd hoogleraar worden dan mannen, maar twee jaar korter in functie blijven.
„We weten allemaal dat die AVG helemaal niet bedoeld is om dit soort analyses en onderzoeken onmogelijk te maken”, zegt Jos de Jonge die dit onderzoek voor het Rathenau Instituut doet. „Een enkeling zou je misschien in de databestanden kunnen opsporen.” Een vrouw in een bètavak met weinig andere vrouwelijke docenten bijvoorbeeld. De Rathenau-onderzoekers kunnen dat mogelijk zien maar in de publicatie zelf is dat niet na te gaan.
De Vereniging van Universiteiten wil niet mededelen om welke universiteiten het gaat, maar de koepelorganisatie heeft wel begrip voor de angst. „Je merkt dat er grote onzekerheid is bij organisaties over wat ze wel en niet delen”, zegt de woordvoerder. „De nieuwe wet is ingewikkeld en het is nog onduidelijk welke teksten alleen richtinggevend zijn, en welke ook de strenge praktijk worden.”
:format(webp)/s3/static.nrc.nl/bvhw/files/2018/04/data30493490-1b0f06.jpg)
Bio-industriebedrijven
Het lukte de Partij voor de Dieren ook niet om informatie op te vragen bij het ministerie van Buitenlandse Zaken over een handelsmissie. Medewerkers zoeken vaak uit welke bio-industriebedrijven meegaan met de overheid, ditmaal om de veehouderijsector in Turkije te bezoeken. De partij kreeg te horen dat missiedeelnemers nu eerst om een ‘verklaring van geen bezwaar’ moest worden gevraagd vanwege de privacywet – en veel deelnemers hadden desgevraagd wél bezwaar.
Die voorzichtigheid speelt ook bij kleinere organisaties. Michiel Steltman vroeg de tandarts in zijn woonplaats Leimuiden of hij de foto’s die even daarvoor waren gemaakt van zijn kaak per e-mail mocht ontvangen. Zo zou zijn wederhelft met verstand van tandheelkunde kunnen meekijken. Maar de tandarts zei dat de nieuwe privacywet hem verbood zijn gegevens te mailen. Steltman heeft inderdaad de foto’s, die van zijn eigen kaak dus, nooit gekregen.
:format(webp)/s3/static.nrc.nl/bvhw/files/2018/04/data30493546-a50d98.jpg)
Bidden
In de Grote Kerk in Gorinchem wordt zelfs niet meer gebeden voor zieken in de dienst zonder hun toestemming. „Als iemand bijvoorbeeld vraagt om voor z’n zieke moeder te bidden, doen we dat niet meer zonder toestemming aan de zieke te vragen”, zegt koster Kees Struik. Wat hem betreft is het overdreven. „Het kwade en het goede wordt over één kam geschoren met zo’n wet.”
„We slaan hier en daar echt volkomen door”, zegt Menno Weij, advocaat gespecialiseerd in technologie. Volgens Weij speelt er een aantal zaken die het bovenstaande verklaren. Allereerst is het gros van de privacyregels helemaal niet veranderd, maar zijn organisaties door de dreiging van boetes nu paniekerig bezig met achterstallig onderhoud.
Maar er is ook veel onduidelijkheid over de nieuwe wet. Er ontbreekt jurisprudentie: hoe heet wordt de soep daadwerkelijk gegeten? De privacywaakhond Autoriteit Persoonsgegevens geeft ook weinig duidelijkheid.
Er moeten bijvoorbeeld redelijke bewaartermijnen worden gehanteerd voor gegevens, maar wat is redelijk? Veel organisaties denken bovendien dat zij alleen gegevens mogen verwerken met toestemming van de consument, terwijl er ook een gerechtvaardigd belang kan spelen, al kan dat juridisch ingewikkeld zijn. „Het gevolg is dat organisaties druk iedereen om toestemming gaan vragen”, zegt Weij.