N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Vijf jaar AVG Om de privacy van burgers te beschermen werd vijf jaar geleden de AVG van kracht. Op de naleving is nog veel aan te merken, maar veel boetes zijn er niet uitgedeeld. „Boetes zijn geen doel op zich.”
Extra gedoe gaf het zeker, de invoering van de privacyregels van de AVG, deze week vijf jaar geleden. In de hele Europese Unie moeten bedrijven, overheden en andere instellingen sindsdien zorgvuldig omspringen met namen, adressen, geboortedata en andere persoonsgegevens – van volwassenen én kinderen.
Maar Mirjam van der Geijs, directeur van basisschool De Bolster in Amersfoort, vertelt enthousiast wat de regels in de praktijk betekenen voor haar school van 470 leerlingen. „Ik zie vooral de goede kanten ervan, ook al moet je wat meer stilstaan bij de vraag of dingen wel of niet kunnen. Het gaat om de veiligheid van onze leerlingen en medewerkers.
„Een foto van een schoolactiviteit die je vroeger ophing in je klas en die van buitenaf te zien is, dat kan niet zomaar meer. De kasten waar gegevens in worden bewaard, moeten goed op slot kunnen. We hebben een maandelijkse nieuwsbrief die per mail wordt verstuurd. Daarin plaatste je voorheen leuke foto’s, van Koningsdag bijvoorbeeld. Nu bellen we, voor we zo’n foto plaatsen, eerst even de ouders op of ze schriftelijk toestemming willen geven dat een foto van hun kind in de nieuwsbrief komt.
„De invoering van de AVG is een goede ontwikkeling. Ik vind het inmiddels heel normaal dat je kind niet zomaar ergens in een nieuwsbrief verschijnt. Je wordt voorzichtiger.”
De stichting van dertien scholen waarvan De Bolster deel uitmaakt heeft een zogeheten ‘Functionaris Gegevensbescherming’ (FG) ingeschakeld, die adviseert over naleving van de AVG (Algemene verordening gegevensbescherming) op de scholen. „Zij komt bijvoorbeeld langs en loopt met ons een rondje door het gebouw, doet wat steekproeven en komt met aanbevelingen. Soms gaat het om kleine dingen. Iemand had geboortekaartjes in het zicht opgehangen, en daarover zei ze: Haal die maar weg, want er komen allemaal mensen in deze ruimte en die zien het adres. Over de foto’s in de schoolgids vroeg ze of ze de toestemming van de ouders even kon zien.”
Vijf vragen over het nut, het gedoe en de dagelijkse praktijk van de AVG.
1 Waarom is de AVG belangrijk?
„De bescherming van je persoonlijke gegevens is een grondrecht”, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), de organisatie die in Nederland toeziet op naleving van de AVG en zo nodig boetes oplegt. „Persoonsgegevens geven een inkijkje in je privéleven. Ze kunnen iets zeggen over je gezondheid, je seksuele voorkeur, je koopgedrag, waar je de hele dag bent.
„Je kan op basis van die data geselecteerd worden, of juist niet, voor een sollicitatiegesprek. Geaccepteerd worden, of juist niet, als klant van een bank. Daar kan heel makkelijk een element van discriminatie in sluipen, bedoeld of onbedoeld. Met de Toeslagenaffaire hebben we gezien hoe dat heel erg, en op grote schaal, fout kan gaan.
„Vroeger werd er natuurlijk ook gediscrimineerd. Maar omdat tegenwoordig bijna alles gedigitaliseerd wordt, is bescherming van persoonsgegevens extra belangrijk. De digitalisering is een risico op zichzelf. Mensen weten vaak niet wat er met hun data gebeurt en wie ze allemaal heeft. Met één druk op de knop kunnen bedrijven en instellingen een uitdraai maken met allerlei informatie over je.
„Misschien een rare vergelijking, maar als je fiets gestolen wordt dan zie je dat, als je geslagen wordt dan voel je dat. Maar als je vrijheidsrechten in de digitale wereld worden geschonden, of je wordt gediscrimineerd: wie ziet dat?
„Mensen hebben soms wel een vaag idee dat ze om een bepaalde reden worden uitgesloten, maar ze kunnen zelf niet in die systemen kijken dus ze wéten het niet. Dan moeten wij aan de bak en onderzoek doen.”
2 Wat schort er in Nederland aan de uitvoering van de AVG?
De organisatie voor digitale burgerrechten Bits of Freedom is ontevreden over de naleving van de AVG. Uit een onderzoek dat ze vorig jaar deed onder de tien grootste gemeenten, bleek dat er maar één (Utrecht) een ‘voldoende’ scoorde. „Dat gemeenten na zo veel jaar nog steeds niet kunnen voldoen aan de basisverplichtingen is schandalig”, aldus beleidsadviseur van Bits of Freedom Nadia Benaissa. Gemeenten bleken onvoldoende te weten welke gegevens ze hadden en hoe ze die beschermden, en burgers kregen niet snel genoeg inzage in hun gegevens.
Niet alleen gemeentes, ook andere overheden hebben hun zaken niet op orde. De Belastingdienst kreeg twee keer een boete van de AP: vorig jaar 3,7 miljoen euro voor het bijhouden van een zwarte lijst waarop vermeende signalen van mogelijke fraude werden bijgehouden, en in 2021 2,75 miljoen euro vanwege de Toeslagenaffaire. En nog steeds is de dienst niet in staat veilig om te gaan met de persoonsgegevens die hij onder zijn hoede heeft, bleek vorige week uit onderzoek van NRC.
Als de overheid persoonsgegevens misbruikt is dat extra pijnlijk, zegt Wolfsen van de AP. „Bij een bedrijf kan je als klant weglopen en overstappen naar een ander bedrijf, bij de overheid kan dat niet.”
Wolfsen erkent dat er op de naleving en handhaving van de AVG in Nederland nog veel aan te merken is. Maar zijn organisatie heeft niet meer dan 36 boetes uitgedeeld sinds de AVG in 2018 van kracht werd. „Dat is weinig, té weinig. Boetes zijn geen doel op zich, ons doel is dat de grondrechten gerespecteerd worden en dat gaat de goede kant op. Maar de naleving zou sterker afgedwongen moeten worden.
„De pakkans voor overtreders is, in alle eerlijkheid, echt nog te laag. Dat heeft te maken met het beperkte aantal medewerkers dat wij hebben, zo’n 180, plus nog enkele tientallen die we inhuren. We zijn wel gegroeid, en hebben nu een budget van 35 miljoen euro, maar het toezicht is nog niet zoals het hoort te zijn. We moeten gelijke tred zien te houden met de digitalisering.”
3 Deze week kreeg het moederbedrijf van Facebook een recordboete van 1,2 miljard euro. Is dat een teken dat de AVG op Europees niveau werkt?
Wolfsen vindt van wel. „Bij grote bedrijven is de handhaving soms heel lastig. Maar als het om grote schendingen gaat, zijn ook de boetes groot. De AVG (internationaal bekend als de GDPR) heeft daar de ruimte voor geschapen – en die wordt nu gebruikt.”
Veel kritischer is Max Schrems, de Oostenrijkse jurist, activist en oprichter van de organisatie voor privacyrechten noyb (None of Your Business). De boete voor Meta (voor het overbrengen van gegevens over Europese gebruikers naar de VS) illustreert volgens hem juist dat de AVG/GDPR níét werkt.
Niet alleen heeft het jaren gekost voor de boete werd opgelegd en komt er nu eerst nog een hoger beroep van Meta. Ook heeft Schrems maar liefst drie juridische procedures moeten voeren, tot aan het Europese Hof voor Justitie aan toe (de totale kosten waren naar eigen zeggen meer dan 10 miljoen euro), om de Ierse toezichthouder uiteindelijk te bewegen tot het opleggen van deze boete.
Niet eerder hadden de Europese toezichthouders zo’n hoge boete opgelegd voor overtreding van de privacyregels als deze maandag. Het Amerikaanse Meta, moederbedrijf van Facebook, moet 1,2 miljard euro betalen omdat het gegevens van Europese gebruikers opslaat op servers in de Verenigde Staten. Dat mag een groot bedrag lijken, maar na de bekendmaking van de boete veerde op Wall Street de beurskoers van Meta op: van 245 naar 252 dollar. Met een jaaromzet van 116 miljard dollar (108 miljard euro) kan het techbedrijf wel wat hebben. En met hoge boetes heeft het concern enige ervaring, onder meer door de 5 miljard dollar die Facebook in 2019 in de VS moest betalen vanwege de Cambridge Analytica-affaire. Niettemin kondigde Meta maandag aan in beroep te zullen gaan tegen de boete.
„De praktijk is mijlenver verwijderd van de bedoeling van de wetgever om burgers de mogelijkheid te bieden gratis en gemakkelijk een klacht in te dienen”, reageerde Schrems fel. Nationale toezichthouders nemen klachten vaak niet in behandeling, en als ze dat wél doen gaat de behandeling veel te traag. „In veel landen moet je in het beste geval twee jaar op een uitspraak wachten”, volgens Schrems. Dat zou ten koste gaan van de afschrikkende werking, die de AVG aanvankelijk wel leek te hebben.
Bij de Nederlandse toezichthouder liep het aantal klachten in de eerste jaren van de AVG snel op tot 25.590 in 2020, maar daarna zette een daling in tot 18.914 in 2021 en 13.113 afgelopen jaar – „mede omdat de AP genoodzaakt was de openingstijden van het telefonisch spreekuur terug te brengen”, aldus een verklaring van de organisatie zelf. Het personeelstekort speelt daarbij een rol. Eind 2022 waren 5.723 kla Source: NRC