Exact een jaar geleden klonk er veel tromgeroffel: de Algemene verordening gegevensbescherming (AVG) ging van alles op het internet veranderen. Maar is dat ook zo? Tijd voor een tussenbalans.

Intense lobbystrijd

De nieuwe privacyregels zoals vastgelegd in de AVG zijn de uitkomst van misschien wel de meest belobbiedeIn een serie blogposts gaan we daar dieper op in wetgeving uit Brussel. De regels zijn dan ook niet perfectZie ons statement uit 2015. Ondanks een intense campagneKijktip: de documentaire ‘Democracy’ geeft een kijkje in de keuken van de intense politieke onderhandelingen die eraan vooraf gingen vanuit het bedrijfsleven om de regels af te zwakken, zijn belangrijke basisprincipes om onze gegevens te beschermen gelukkig overeind gebleven. Ook zijn de mogelijkheden voor de privacytoezichthouders om handhavend op te treden uitgebreid, zoals de veelbesproken mogelijkheid om boetes op te leggen.

Internationale standaard van betekenis?

Europa heeft met de AVG internationaal de standaardVoorbeeld van het 'California effect' gezet hoe bedrijven en overheden met onze persoonsgegevens moeten omgaan. Dat is op zich al winst. Maar de waarde van de AVG voor goede privacybescherming valt of staat bij de toepassing ervan. Zolang die niet op orde is, lijken alle regels op papier wel mooi, maar merken we er in de praktijk weinig van. Op dat vlak valt nog heel veel te verbeteren.

Privacybescherming gereduceerd tot checklist

Het risico is levensgroot dat de rechten en verplichtingen uit de AVG teruggebracht worden tot een administratieve checklist. Als die lijst is afgewerkt kan een organisatie de indruk wekken dat ze ‘compliant’ is – de term die wordt gebruikt als iemand voldoet aan alle regeltjes. Maar dit is dan vaak een papieren werkelijkheid.

Dit zie je bijvoorbeeld terug bij de trend om voor alles en nog wat ‘toestemming’ te vragen, of vaker nog, via opdringerige popups af te dwingen. Je wordt via bewuste ontwerpkeuzesOok wel ‘dark patterns’ genoemd verleid om snel op ‘akkoord’ te klikken en niet te veel stil te staan bij de gevolgen. Waar je precies mee akkoord gaat is onduidelijk. En vaak heb je geen andere keus dan maar met alles in te stemmen. Want als het vinkje eenmaal is gezet, lijkt de buit binnen.

Toestemming als schaamlap

Er is sprake van toestemmingsinflatie. Hoe meer we worden gestuurd en gedwongen om maar overal mee ‘akkoord’ te gaan, hoe beperkter de waarde is van de verkregen toestemming. Toestemming wordt zo een fictie. Een schaamlap om met je gegevens aan de haal te gaan. Dat is niet oké en als je de regels en basisprincipes uit de AVG juist toepast ook niet toegestaan. Toch worden we hier dagelijks mee geconfronteerd.

Doembeelden onterecht

Zelfbenoemde AVG-experts schetsten het afgelopen jaar regelmatig een doembeeld. Vrijwel niets zou meer mogelijk zijn onder de nieuwe privacyregels en iedereen moest vrezen voor torenhoge boetes. Vooral voor de mensen die geen advies of andere diensten van hen afnamen, was de impliciete boodschap. Het mag duidelijk zijn dat dit doembeeld onterecht is gebleken. Met common sense en de juiste intenties is het voor veel organisaties geen probleem om integer met persoonsgegevens om te gaan en volgens de principes uit de AVG te handelen.

Excessen

Het is een ander verhaal voor bedrijven voor wie de aandacht en gegevens van gebruikers de grondstof zijn voor hun verdienmodelZuboff's 'surveillance capitalism'. Dit lijdt vrijwel altijd tot excessen die lijnrecht ingaan tegen basisprincipes uit de AVG die een goede bescherming van onze gegevens moeten garanderen. Betekent dit dat deze excessen nu verleden tijd zijn met de nieuwe privacyregels? Nou nee, tot nu toe nog niet. Om een voorbeeld te noemen: het massaal weglekken van persoonsgegevens bij de online flitshandel in advertenties via real time bidding. Bij het bezoeken van een website die deze methode toepast, lekt er in enkele milliseconden allerlei informatie over je weg naar honderden bedrijven zonder dat je hier goed zicht op hebt of controle over hebt.

Op meerdere punten gaat deze praktijk lijnrecht tegen de basisprincipes van de AVG in. Maar toch gaat deze praktijk tot nu toe vrolijk door. Daarom dienden we afgelopen maandag een klachtOok in andere landen werden klachten ingediend in bij de privacytoezichthouder, de Autoriteit Persoonsgegevens, met het verzoek om in te grijpen.

Hoopgevende signalen

Het is gelukkig niet allemaal doom and gloom. Na een langzame start beginnen de privacywaakhonden in Europa langzaam wakker te worden. De Franse toezichthouder deelde na klachten van gebruikers een eerste tikEen kleine tik als je de boete afzet tegen de jaaromzet van Google uit aan Google omdat het onvoldoende duidelijk maakt waarmee gebruikers akkoord gaan. De Nederlandse toezichthouder nam begin dit jaar positie in tegen de beruchte cookiewallsNormuitleg cookiewalls Autoriteit Persoonsgegevens. En de Ierse toezichthouder kondigdeDit schreef The Guardian erover deze week aan een onderzoek te starten naar de rol van Google bij real time bidding. Dit onderzoek is gestart naar aanleiding van een klacht in Ierland die onderdeel uitmaakt van een serie klachten in het Verenigd Koninkrijk, Polen, België, Luxemburg, Spanje en, door ons, in Nederland. Hun tanden hebben ze nog niet echt laten zien, maar deze ontwikkelingen zijn zeker hoopgevend.

We zien ook dat steeds meer mensen gebruik maken van hun rechten om meer grip te krijgen op hun gegevens. Bijvoorbeeld door inzage te eisen in de persoonsgegevens die over ze worden verzameld en met wie ze worden gedeeld. Sinds wij onze tool My Data Done Right zeven maanden geleden lanceerden hebben ruim 17.000 mensen een verzoek opgesteld. En dan moet My Data Done Right in samenwerking met andere organisaties nog uitgerold gaan worden in andere landen in Europa.

Samenwerking

En dat is misschien wel de belangrijkste les na één jaar AVG: in je eentje verander je weinig, maar door samen op te trekken kan de status quo wel degelijk veranderen. Dus alleen als mensen hun rechten uitoefenen, organisaties zoals wij partijen ter verantwoording roepen, en toezichthouders hun tanden laten zien, zal de AVG geen papieren werkelijkheid worden. Er is dus genoeg te doen.