Van je schulden hoeft de GGD niet te weten

Privacybescherming De Algemene verordening gegevensbescherming werkt. Twee jaar na de invoering zijn weinig boetes uitgedeeld. Mensen en organisaties zijn zich veel bewuster geworden van de privacyregels. „Dataprotectie emancipeert tot allesomvattend grondrecht”, zegt de toezichthouder.

Illustratie Pepijn Barnard

Op basisschool Mariëngaarde in Gorinchem werden foto’s van leerlingen meestal zonder overleg met hen op de Facebookpagina geplaatst. „Je deed het, totdat een ouder zei het liever niet te willen”, zegt schooldirecteur Robin Bieren. Dat veranderde met de komst van de Algemene verordening gegevensbescherming (AVG), maandag twee jaar geleden. „Nu ga je ervan uit dat het niet kan, totdat de ouders ja hebben gezegd”, vertelt Bieren.

De komst van de AVG heeft op Mariëngaarde wel meer veranderd. Voorheen hadden docenten soms het leerlingvolgsysteem Parnassys openstaan op het grote digibord wanneer iemand de klas binnenliep. Dat gebeurt volgens Bieren niet meer. Ook op andere terreinen wordt zorgvuldiger omgesprongen met de privacy van de leerlingen. Wanneer twee kinderen ruzie hebben met elkaar, willen ouders nog weleens weten wat de consequenties zijn voor het andere kind. „Vroeger waren we daar onbewust wat makkelijker in. Nu leggen we uit dat we niets kunnen zeggen als ze vragen wat we eraan doen. Daar is ook begrip voor”, zegt Bieren.

Volgens de schooldirecteur is er meer „bewustwording” ontstaan. Hij schrijft dit toe aan de discussie rond de invoering van de AVG. De databeschermingswet lijkt in belangrijke mate op zijn voorganger, de Wet bescherming persoonsgegevens. Het is vooral de mogelijkheid van torenhoge boetes die organisaties en bedrijven twee jaar geleden wakker schudde.

Inhaalslag

„Het belang dat aan deze wet wordt gehecht is duidelijk anders”, ziet ook Bert Jaap Koops, hoogleraar regulering van technologie aan de universiteit van Tilburg. „Veel bedrijven en instellingen hebben een inhaalslag gemaakt.”

Volgens onderzoek van IT-beveiliger Tanium, onder tientallen Nederlandse IT-leidinggevenden bij bedrijven met meer dan duizend medewerkers, investeerden deze Nederlandse bedrijven vorig jaar gemiddeld 39 miljoen euro om aan de AVG te voldoen. De databeschermingswet eist onder meer dat precies wordt vastgelegd waar gegevens die herleidbaar zijn tot personen vandaan komen, waarom ze worden opgeslagen en met wie ze worden gedeeld. Dat vergt een forse investering in IT-systemen.

Hoogleraar Koops verwacht dat er tegelijkertijd nog genoeg organisaties zijn die het voldoen aan de AVG beperken tot een „papieren exercitie”. Door de privacyvoorwaarden in overeenstemming te brengen met de nieuwe wet, maar niet daadwerkelijk te investeren in bescherming van persoonsgegevens en een bewuste omgang daarmee door medewerkers. De kans dat zij worden beboet door de Autoriteit Persoonsgegevens (AP) is klein; onder de AVG werden tot nu toe vijf boetes uitgedeeld.

Voorzitter Digerto Biemans van voetbalclub Unitas in Gorinchem noemde de AVG tegen de NOS twee jaar geleden nog „onwerkbaar”. Hij vreesde niet langer foto’s van spelers online te mogen zetten zonder toestemming vooraf. „In de praktijk wordt de soep niet zo heet gegeten als die die wordt opgediend”, zegt Biemans nu. „Nieuwe leden worden erover geïnformeerd dat foto’s op internet kunnen verschijnen. Als iemand bezwaar heeft tegen een bepaald beeld, kan dat worden gemeld bij de leiding. In de voorbije jaren was er één keer een klacht, van iemand die al geen lid meer was.”

Flinke boetes

Privacyjurist Thomas van Essen betwijfelt of dit de juiste werkwijze is. „Het publiceren van foto’s is niet noodzakelijk om bij een club te kunnen voetballen. Nieuwe leden kunnen niet anders dan akkoord gaan, zodat de verleende toestemming niet ‘vrij’ gegeven kan worden.”

Tijdens zijn werk voor SOLV Advocaten ziet Van Essen dat de AVG bij veel bedrijven en organisaties heel wat meer verandert dan wat wijzigingen in de voorlichting. „Je moet je processen goed inrichten om niet op de radar van de AP te komen. Veel partijen lukt het al niet binnen een maand te voldoen aan een inzageverzoek, wanneer iemand wil weten welke persoonsgegevens van hem of haar worden verwerkt. Dat leidt tot klachten bij de AP en mogelijk een onderzoek”, aldus Van Essen.

De AVG dwingt tot nadenken vóór doen

Nadia Benaissa beleidsmedewerker Bits of Freedom

Dat de eerste boetes zijn uitgedeeld, waarbij het om flinke bedragen ging, heeft volgens hem wel degelijk effect. Taxidienst Uber kreeg in 2018, volgens de AP deels onder de AVG, een boete van zes ton. Reden was het verzwijgen van een datalek waarbij namen, e-mailadressen en telefoonnummers van 57 miljoen gebruikers wereldwijd in handen kwamen van hackers. Het Haga-ziekenhuis in Den Haag kreeg vorig jaar een boete van 460.000 euro vanwege de slechte beveiliging van patiëntgegevens. Het onderzoek werd ingesteld nadat tientallen medewerkers het digitale dossier van realityster Barbie hadden ingekeken. Tennisbond KNLTB werd afgelopen maart aangeslagen voor 525.000 euro. Contactgegevens van leden bleken voor marketingdoeleinden te worden verkocht aan een online tenniswinkel en een loterij. En onlangs beboette de AP een anoniem bedrijf met 725.000 euro vanwege het afnemen van vingerafdrukken van werknemers om hun werktijden te registreren. Van de vijfde boete zijn op last van de rechter helemaal geen details bekend.

Lees ook: De baas mag zijn werknemers toch wél temperaturen

„Het zijn niet alleen de boetes die worden gevreesd”, zegt Van Essen. „Nu privacy steeds serieuzer wordt genomen, kan ook onderzoek door de AP al tot flinke imagoschade leiden.”

Daarom worden privacyjuristen vaker in een vroeg stadium betrokken bij de ontwikkeling van dataplannen. Van Essen geeft het voorbeeld van een bedrijf dat het vaste klantenbestand wilde koppelen aan een database met mensen die via een winactie worden gelokt. „Zo’n bedrijf wil dan weten of die potentiële nieuwe klant niet al een vaste klant is. Onder de AVG is het koppelen van databases vaak alleen mogelijk wanneer toestemming is verleend. Dit moet vroeg bekend zijn, zodat de inrichting van de winactie daar vanaf het eerste moment op kan worden afgestemd”, zegt Van Essen.

Datalekken zonder gevolgen

Ook de doorgaans kritische privacybeschermers van Bits of Freedom zijn behoorlijk te spreken over de effectiviteit van de databeschermingswet. „De AVG dwingt tot nadenken vóór doen”, zegt beleidsadviseur Nadia Benaissa. Volgens Bits of Freedom zijn er nog genoeg privacyschenders die de dans ontspringen. Benaissa denkt aan datalekken die vaak nog zonder gevolgen blijven. „Of big tech dat gebruikers volgt, analyseert en manipuleert.” Maar de verwachting is dat de handhaving door de AP steeds effectiever zal worden. Een noviteit is dat overheden, publieke organisaties en bedrijven die veel privacygevoelige informatie verwerken een ‘funtionaris gegevensbescherming (FG)’ moeten aanstellen.

Martijn Kuipers is FG bij de GGD West-Brabant. Een deel van zijn werk bestaat uit gesprekken voeren met hulpverleners en onderzoekers over de vraag hoe zij met een zo beperkt mogelijke vastlegging van persoonsgegevens hun doelen kunnen bereiken. „Eerder werd vaker gevraagd naar gebruik van medicijnen en verdovende middelen, financiën, afstand tot de arbeidsmarkt en gezondheid. Nu zie je een bewustere vastlegging, die beperkt blijft tot wat nodig is voor het oplossen van de problemen”, aldus Kuipers. Dataminimalisatie is een belangrijke voorwaarde uit de AVG.

Illustratie Pepijn Barnard

Privacy-evangelist

Volgens Kuipers valt de invloed van de nieuwe databeschermingswet niet te onderschatten, al kan het wat hem betreft niet snel genoeg gaan. „Als FG ben je toch een beetje een privacy-evangelist. Bij de ontwikkeling van nieuwe systemen, bijvoorbeeld voor ondersteuning in de coronateststraten of de veelbesproken app voor bron- en contactonderzoek, zie je dat gegevensbescherming een prominente plaats krijgt. Dat geldt niet altijd voor oudere systemen. Ik kan dan wel willen dat zo’n systeem direct wordt vervangen, maar dat is niet altijd haalbaar”, zegt Kuipers.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zag zijn organisatie in enkele jaren groeien van 70 naar bijna 190 voltijdsbanen. Wolfsen is redelijk tevreden over het effect van de nieuwe wet en de handhaving daarvan, maar hij komt nog altijd mensen tekort. „Nederland is het meest gedigitaliseerde land van Europa, en die digitalisering neemt iedere dag toe. Daardoor worden steeds meer persoonsgegevens vastgelegd, wat ons werkterrein voortdurend vergroot”, zegt hij. KPMG onderzoekt nu wat een goede personeelsbezetting is voor de AP. Wolfsen hoopt dat het kabinet op basis daarvan een verder „groeipad” voor zijn organisatie uitstippelt.

Coronacrisis

De AVG mag de databescherming dan hebben verbeterd. De coronacrisis kan veel winst weer tenietdoen. De politie stuurt drones de lucht in om burgers te filmen en toe te spreken als ze te dicht bij elkaar staan. De medische dossiers bij de huisarts van mensen die geen toestemming gaven voor gebruik door anderen, zijn toegankelijk gemaakt voor huisartsenposten en eerste hulpen in het ziekenhuis. Het kabinet werkt aan een spoedwet om locatiegegevens van mobiele bellers te laten onderzoeken door het RIVM, om zo voorspellingen te doen over de verspreiding van het virus.

Lees ook: AP legde 3 miljoen aan AVG-boetes op

Wolfsen eist dat het om maatregelen gaat die de bescherming van persoonsgegevens zo goed mogelijk waarborgen. „Over die spoedwet hebben wij net advies uitgebracht aan het kabinet. Wij sluiten niet uit dat de analyse van die locatiedata op een privacy-vriendelijke manier kan, maar dan moet aan strenge normen worden voldaan. Onze adviezen worden meestal opgevolgd, omdat wij een wet buiten werking kunnen stellen als de AVG wordt geschonden”, zegt Wolfsen.

Zorgen over de gevolgen van de coronacrisis leven breder. „Het grootschalig volgen van mensen die daar geen toestemming voor hebben gegeven, is door de AVG echt not done geworden. Dat lijkt met die locatiedata nu weer aan de kant te worden geschoven”, zegt Benaissa van Bits of Freedom. „Niets is zo permanent als een tijdelijke maatregel”, reageert ook privacyjurist Thomas van Essen sceptisch, al vindt hij dat in crisistijd op beperkte schaal uitzonderingen op de AVG moeten kunnen.

Wolfsen is gematigd positief. „Bij alle maatregelen die nu worden genomen, zie ik dat de maatschappelijke waardering voor databescherming nauwelijks ter discussie staat. Steeds breder wordt gezien dat dit nodig is om grondrechten te garanderen, zoals het recht om je vrij te mogen bewegen en het recht op vertrouwelijke communicatie. Zo emancipeert dataprotectie zich tot een allesomvattend grondrecht.”