Extra gedoe gaf het zeker, de invoering van de privacyregels van de AVG, deze week vijf jaar geleden. In de hele Europese Unie moeten bedrijven, overheden en andere instellingen sindsdien zorgvuldig omspringen met namen, adressen, geboortedata en andere persoonsgegevens – van volwassenen én kinderen.

Maar Mirjam van der Geijs, directeur van basisschool De Bolster in Amersfoort, vertelt enthousiast wat de regels in de praktijk betekenen voor haar school van 470 leerlingen. „Ik zie vooral de goede kanten ervan, ook al moet je wat meer stilstaan bij de vraag of dingen wel of niet kunnen. Het gaat om de veiligheid van onze leerlingen en medewerkers.

„Een foto van een schoolactiviteit die je vroeger ophing in je klas en die van buitenaf te zien is, dat kan niet zomaar meer. De kasten waar gegevens in worden bewaard, moeten goed op slot kunnen. We hebben een maandelijkse nieuwsbrief die per mail wordt verstuurd. Daarin plaatste je voorheen leuke foto’s, van Koningsdag bijvoorbeeld. Nu bellen we, voor we zo’n foto plaatsen, eerst even de ouders op of ze schriftelijk toestemming willen geven dat een foto van hun kind in de nieuwsbrief komt.

„De invoering van de AVG is een goede ontwikkeling. Ik vind het inmiddels heel normaal dat je kind niet zomaar ergens in een nieuwsbrief verschijnt. Je wordt voorzichtiger.”

De stichting van dertien scholen waarvan De Bolster deel uitmaakt heeft een zogeheten ‘Functionaris Gegevensbescherming’ (FG) ingeschakeld, die adviseert over naleving van de AVG (Algemene verordening gegevensbescherming) op de scholen. „Zij komt bijvoorbeeld langs en loopt met ons een rondje door het gebouw, doet wat steekproeven en komt met aanbevelingen. Soms gaat het om kleine dingen. Iemand had geboortekaartjes in het zicht opgehangen, en daarover zei ze: Haal die maar weg, want er komen allemaal mensen in deze ruimte en die zien het adres. Over de foto’s in de schoolgids vroeg ze of ze de toestemming van de ouders even kon zien.”

Vijf vragen over het nut, het gedoe en de dagelijkse praktijk van de AVG.

1 Waarom is de AVG belangrijk?

„De bescherming van je persoonlijke gegevens is een grondrecht”, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), de organisatie die in Nederland toeziet op naleving van de AVG en zo nodig boetes oplegt. „Persoonsgegevens geven een inkijkje in je privéleven. Ze kunnen iets zeggen over je gezondheid, je seksuele voorkeur, je koopgedrag, waar je de hele dag bent.

„Je kan op basis van die data geselecteerd worden, of juist niet, voor een sollicitatiegesprek. Geaccepteerd worden, of juist niet, als klant van een bank. Daar kan heel makkelijk een element van discriminatie in sluipen, bedoeld of onbedoeld. Met de Toeslagenaffaire hebben we gezien hoe dat heel erg, en op grote schaal, fout kan gaan.

„Vroeger werd er natuurlijk ook gediscrimineerd. Maar omdat tegenwoordig bijna alles gedigitaliseerd wordt, is bescherming van persoonsgegevens extra belangrijk. De digitalisering is een risico op zichzelf. Mensen weten vaak niet wat er met hun data gebeurt en wie ze allemaal heeft. Met één druk op de knop kunnen bedrijven en instellingen een uitdraai maken met allerlei informatie over je.

„Misschien een rare vergelijking, maar als je fiets gestolen wordt dan zie je dat, als je geslagen wordt dan voel je dat. Maar als je vrijheidsrechten in de digitale wereld worden geschonden, of je wordt gediscrimineerd: wie ziet dat?

„Mensen hebben soms wel een vaag idee dat ze om een bepaalde reden worden uitgesloten, maar ze kunnen zelf niet in die systemen kijken dus ze wéten het niet. Dan moeten wij aan de bak en onderzoek doen.”

2 Wat schort er in Nederland aan de uitvoering van de AVG?

De organisatie voor digitale burgerrechten Bits of Freedom is ontevreden over de naleving van de AVG. Uit een onderzoek dat ze vorig jaar deed onder de tien grootste gemeenten, bleek dat er maar één (Utrecht) een ‘voldoende’ scoorde. „Dat gemeenten na zo veel jaar nog steeds niet kunnen voldoen aan de basisverplichtingen is schandalig”, aldus beleidsadviseur van Bits of Freedom Nadia Benaissa. Gemeenten bleken onvoldoende te weten welke gegevens ze hadden en hoe ze die beschermden, en burgers kregen niet snel genoeg inzage in hun gegevens.

Niet alleen gemeentes, ook andere overheden hebben hun zaken niet op orde. De Belastingdienst kreeg twee keer een boete van de AP: vorig jaar 3,7 miljoen euro voor het bijhouden van een zwarte lijst waarop vermeende signalen van mogelijke fraude werden bijgehouden, en in 2021 2,75 miljoen euro vanwege de Toeslagenaffaire. En nog steeds is de dienst niet in staat veilig om te gaan met de persoonsgegevens die hij onder zijn hoede heeft, bleek vorige week uit onderzoek van NRC.

Als de overheid persoonsgegevens misbruikt is dat extra pijnlijk, zegt Wolfsen van de AP. „Bij een bedrijf kan je als klant weglopen en overstappen naar een ander bedrijf, bij de overheid kan dat niet.”

Wolfsen erkent dat er op de naleving en handhaving van de AVG in Nederland nog veel aan te merken is. Maar zijn organisatie heeft niet meer dan 36 boetes uitgedeeld sinds de AVG in 2018 van kracht werd. „Dat is weinig, té weinig. Boetes zijn geen doel op zich, ons doel is dat de grondrechten gerespecteerd worden en dat gaat de goede kant op. Maar de naleving zou sterker afgedwongen moeten worden.

„De pakkans voor overtreders is, in alle eerlijkheid, echt nog te laag. Dat heeft te maken met het beperkte aantal medewerkers dat wij hebben, zo’n 180, plus nog enkele tientallen die we inhuren. We zijn wel gegroeid, en hebben nu een budget van 35 miljoen euro, maar het toezicht is nog niet zoals het hoort te zijn. We moeten gelijke tred zien te houden met de digitalisering.”

3 Deze week kreeg het moederbedrijf van Facebook een recordboete van 1,2 miljard euro. Is dat een teken dat de AVG op Europees niveau werkt?

Wolfsen vindt van wel. „Bij grote bedrijven is de handhaving soms heel lastig. Maar als het om grote schendingen gaat, zijn ook de boetes groot. De AVG (internationaal bekend als de GDPR) heeft daar de ruimte voor geschapen – en die wordt nu gebruikt.”

Veel kritischer is Max Schrems, de Oostenrijkse jurist, activist en oprichter van de organisatie voor privacyrechten noyb (None of Your Business). De boete voor Meta (voor het overbrengen van gegevens over Europese gebruikers naar de VS) illustreert volgens hem juist dat de AVG/GDPR níét werkt.

Niet alleen heeft het jaren gekost voor de boete werd opgelegd en komt er nu eerst nog een hoger beroep van Meta. Ook heeft Schrems maar liefst drie juridische procedures moeten voeren, tot aan het Europese Hof voor Justitie aan toe (de totale kosten waren naar eigen zeggen meer dan 10 miljoen euro), om de Ierse toezichthouder uiteindelijk te bewegen tot het opleggen van deze boete.

Recordboete Beurskoers Meta stijgt Niet eerder hadden de Europese toezichthouders zo’n hoge boete opgelegd voor overtreding van de privacyregels als deze maandag. Het Amerikaanse Meta, moederbedrijf van Facebook, moet 1,2 miljard euro betalen omdat het gegevens van Europese gebruikers opslaat op servers in de Verenigde Staten. Dat mag een groot bedrag lijken, maar na de bekendmaking van de boete veerde op Wall Street de beurskoers van Meta op: van 245 naar 252 dollar. Met een jaaromzet van 116 miljard dollar (108 miljard euro) kan het techbedrijf wel wat hebben. En met hoge boetes heeft het concern enige ervaring, onder meer door de 5 miljard dollar die Facebook in 2019 in de VS moest betalen vanwege de Cambridge Analytica-affaire. Niettemin kondigde Meta maandag aan in beroep te zullen gaan tegen de boete.

„De praktijk is mijlenver verwijderd van de bedoeling van de wetgever om burgers de mogelijkheid te bieden gratis en gemakkelijk een klacht in te dienen”, reageerde Schrems fel. Nationale toezichthouders nemen klachten vaak niet in behandeling, en als ze dat wél doen gaat de behandeling veel te traag. „In veel landen moet je in het beste geval twee jaar op een uitspraak wachten”, volgens Schrems. Dat zou ten koste gaan van de afschrikkende werking, die de AVG aanvankelijk wel leek te hebben.

Bij de Nederlandse toezichthouder liep het aantal klachten in de eerste jaren van de AVG snel op tot 25.590 in 2020, maar daarna zette een daling in tot 18.914 in 2021 en 13.113 afgelopen jaar – „mede omdat de AP genoodzaakt was de openingstijden van het telefonisch spreekuur terug te brengen”, aldus een verklaring van de organisatie zelf. Het personeelstekort speelt daarbij een rol. Eind 2022 waren 5.723 klachten nog in behandeling bij de AP, waar ook klachten tussen kunnen zitten van eerder dan 2022, die langere tijd vergen om af te handelen.

4 Kan je bij je baas nog wel het adres van een zieke collega opvragen om een bloemetje te sturen?

„Een werkgever mag zéker het adres van een zieke medewerker aan een werknemer geven die een bloemetje wil laten bezorgen”, stelt AP-voorzitter Wolfsen gerust. „Tegen mensen die zich afvragen wat binnen de AVG kan zeg ik weleens: kijk eerlijk in de spiegel en denk dat het over jou zou gaan. Dan voel je toch eigenlijk best goed aan wat wel en wat niet mag?

„Ik merk wél dat er bij mensen veel onzekerheid bestaat over wat bedrijven allemaal van ze weten. Als de klant koning is, zou je de data moeten behandelen alsof het de koning zélf is. Met respect.”

5 Hoe pakt de AVG in de praktijk uit voor een bedrijf, in Nederland en de EU?

„De AVG geldt voor alle landen van de Europese Unie en zou voor een gelijk speelveld zorgen voor bedrijven in de hele EU. Maar helaas zijn er toch nog verschillen in nationale regels en geven toezichthouders in de lidstaten in sommige gevallen een verschillende uitleg aan de regels”, zegt Irvette Tempelman, die bij werkgeversorganisatie VNO-NCW/MKB Nederland verantwoordelijk is voor privacy.

Elke ondernemer heeft persoonsgegevens, van medewerkers en van klanten, en krijgt dus met de AVG te maken. „In het algemeen is voor bedrijven de complexiteit van de regels het lastigst. Men denkt al snel dat dingen niet mogen. Maar dat is ook een kwestie van beeldvorming. Ik vertel vaak dat onder bepaalde voorwaarden best veel kan. Maar mensen zouden graag een handig A4’tje hebben met praktische aanwijzingen.

Installatiebedrijf Scholtes uit Monster (tussen Hoek van Holland en Den Haag) heeft zo’n veertig mensen in dienst en doet onderhoud en service voor cv-toestellen van particulieren en woningbouwcorporaties. „We hebben zo’n 50.000 adressen onder ons beheer, dat zijn behoorlijk veel persoonsgegevens”, zegt directeur Mariëlle Koene. „Voor ons werk hebben we naam, adres en telefoonnummer van mensen echt nodig.

„De AVG levert niet veel extra werk op, maar het is wel een extra zorg. Bij corporaties hebben we te maken met de verhuurder, met de bewoner, en soms ook nog met een aannemer. Dan moet je wel zorgen dat je eigen systemen goed beveiligd zijn, zodat er geen persoonsgegevens op straat komen te liggen of terechtkomen waar ze niet horen.

„Maar het grootste probleem zit aan de achterkant, als een woningcorporatie of een particulier overstapt naar een ander installatiebedrijf en dus geen klant meer is. Om dan alle bestanden uit te kammen om de privacygevoelige gegevens te verwijderen, dat is een hele uitdaging.”

