4 mei 2018

“De privacywet kan echt verschil gaan maken”

25 mei wordt de Algemene verordening gegevensbescherming (AVG) van toepassing, de Europese privacywet. Wat houdt het in, en gaat het werken? We vroegen het jurist en privacy expert Stefan Kulk.

Wat houdt de nieuwe regelgeving in?

“De Algemene Verordening Gegevensbescherming versterkt het privacy-toezicht. De taken en de bevoegdheden van de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, worden uitgebreid. Daartoe wordt ook de mankracht van de Autoriteit Persoonsgegevens vergroot.  De AVG vereist ook van ondernemingen, overheden en andere organisaties dat zij zelf in de gaten houden of de regels wel worden nageleefd. Dat moeten ze ook kunnen aantonen. Zij moeten beter gaan bijhouden welke gegevens waarvoor gebruikt worden. Een groot aantal organisaties dient ook een Functionaris Gegevensbescherming aan te stellen. Die functionaris houdt van binnenuit toezicht.”

Een goede zaak?

“Ja. Privacy is belangrijk en is niet voor niets een grondrecht. Sommige mensen zeggen: ik heb niks te verbergen. Maar privacy is meer dan dat. Het gaat over over je autonomie als persoon, het beschermen van je gedachten- en gevoelswereld. De noodzaak wordt in het nieuws zeer regelmatig aangetoond, als weer eens gegevens op straat liggen of Facebook-data wordt gebruikt voor politieke doeleinden.”

Gaat deze nieuwe regelgeving een verschil maken?
“Ja, ik denk het wel. Sowieso gaat van de hoge boetes – maximaal twintig miljoen euro of 4 procent van de jaaromzet - een afschrikwekkende werking uit. Het privacy-bewustzijn lijkt nu al gegroeid. Bij bedrijven en ook bij het publiek.”

Wat gaan klanten en gebruikers merken van de nieuwe wetgeving?

“De informatie over hoe met gegevens wordt omgegaan zal hopelijk verbeteren. Er zal vaker en duidelijker gevraagd worden om toestemming voor verwerking van gegevens, bijvoorbeeld door Facebook, en het moet makkelijker worden er invloed op uit te oefenen. Ik denk verder dat vooral organisaties veel van de regelgeving gaan merken.”

Welk onderdeel  van de regelgeving heeft de grootste gevolgen voor bedrijven en organisaties?

“De privacy impact assessment die soms is vereist en de verplichte aanstelling van een Functionaris Gegevensbescherming. Je bent straks verplicht om vooraf goed na te denken over hoe je welke gegevens verwerkt, de beveiliging ervan, en dat ook goed in de gaten te blijven houden. Het gaat ook zorgen voor een grotere administratieve last. Wat ook nieuw is, is het recht op dataportabiliteit. Het moet eenvoudiger worden om jouw gegevens mee te nemen naar bijvoorbeeld een ander sociaal netwerk. Dat maakt het makkelijker om over te stappen. Grote internetplatforms zullen daar mee te maken krijgen.”

Is de regelgeving goed te handhaven, en verwacht u dat dit zal gebeuren?

“We hebben op veel punten nog niet scherp hoe de regels precies geïnterpreteerd moeten worden. We zijn eigenlijk met z’n allen: burgers, bedrijven, overheden, toezichthouders, aan het uitvinden hoe de verordening zal moeten werken. Wanneer moet je bijvoorbeeld een Functionaris Gegevensbescherming aanstellen? Een ziekenhuis moet dat zeker, maar ook een praktijk met een klein aantal fysiotherapeuten? En wanneer kun je zeggen dat iemand toestemming heeft gegeven voor gebruik van zijn of haar gegevens? Dat alles vereist nadere toelichting. Mij lijkt bovendien billijk dat de Autoriteit Persoonsgegevens eerst de excessen aanpakt en voorbeelden stelt, en op termijn wat scherper zal toezien op minder ernstige inbreuken.

Zijn organisaties in Nederland er klaar voor, denkt u?

“Grotere organisaties vaak wel. Maar niet iedereen, en zeker niet op alle punten. Bijvoorbeeld in het MKB, of kleine praktijken in de zorgsector. Ook niet alle gemeenten lijken hun zaakjes op orde te hebben.”

Heeft de regelgeving het ook consequenties voor uzelf, als onderzoeker?

“Waar universiteiten grensoverschrijdend samenwerken leveren de nieuwe regels mogelijk problemen op. Er wordt ruimte gelaten aan lidstaten om zelf zaken te regelen als het gaat om onderzoeksdata. Daardoor fragmenteert het landschap en wordt samenwerking complexer. Dit druist in tegen het doel om universiteiten in Europa te laten samenwerken. Ik verwacht persoonlijk geen grote consequenties. Ik ben als docent wel scherper geworden op de opslag van bijvoorbeeld cijfers en informatie van studenten. Ik denk overigens dat daarover wel wat steviger voorgelicht mag worden op de universiteiten.”