Tegenstelling

COLUMN - Op 25 mei gaat in heel Europa de GDPR in, of in gewoon Nederlands de AVG. De wat?

De General Data Protection Regulation, oftewel de Algemene Verordering Gegevensbescherming.

Ik zie de vage blikken al komen. Waar komt deze wet op neer? Kort en simpel gezegd staat in deze in Brussel gemaakte wet neer dat alle bedrijven in Europa, of die handel drijven in Europa, gedwongen worden alle gegevens die zij van mensen opslaan voor al die mensen inzichtelijk te maken, inzichtelijk te maken met welke bedrijven en instanties zij die gegevens delen, de reden van het opslaan van die gegevens toe kunnen lichten, en de gegevens over een persoon met die persoon op verzoek kunnen delen en zelfs wissen.

Het is saaie wetgeving, en het wordt pas interessant voor mensen als zij ook daadwerkelijk hun dossier op willen vragen. De meeste mensen zullen dat niet willen doen, maar het is prettig dat dit kan. Je zal maar een keer een conflict krijgen met een bedrijf, nietwaar? Niet alle data die opgeslagen wordt is ook betrouwbaar. Als je ergens verkeerd staat geregistreerd wil je recht kunnen zetten.

De AVG is dus wetgeving waar je als burger weinig tegen kan hebben. Het staat echter in schril contrast met de zogenaamde sleepwet, waar we in een referendum aanstaande woensdag 21 maart voor of tegen gaan stemmen.

Volgens deze sleepwet mogen overheidsinstellingen, in tegenstelling dus tot bedrijven, data over personen opslaan zonder hun medeweten.

Sterker nog, zij mogen die data opslaan zonder dat zij zélf weten wat ze precies opslaan. Laat staan dat de mensen die het betreft deze data kunnen inzien, of kunnen corrigeren of ook maar aanvechten.

Bovendien mogen die data ook nog eens ongezien gedeeld worden met buitenlandse inlichtingendiensten, zoals daar zijn die van Turkije, Israël en de USA.

Inlichtingendiensten doen andere dingen met data dan bedrijven. Zij zijn niet geïnteresseerd in iemands persoonsdata om er een gerichte advertentie op af te kunnen sturen. Zij willen deze data om profielen te kunnen maken van mensen, buurten, en vriendenkringen, op basis van politieke voorkeuren en maatschappelijke geneigdheid. Dit om te kunnen controleren of deze mensen zich gedragen naar de normen van het land dat ze dienen en de luimen van de machthebbers die in dat land aan de macht zijn.

En niet alle bevriende staten hebben dezelfde maatstaven over wat politiek correct is, wat mag en niet mag, en wat een rechtsstaat volgens ons is.

Straks mogen mijn data niet meer gedeeld worden tussen Google en de buurtsuper zonder mijn medeweten en goedkeuring, maar wel tussen Den Haag en Ankara, Tel Aviv of Washington. En over wat die met de persoonsdata doen of gaan doen is geen enkele controle.

Mijn vertrouwen in de Nederlandse staat en de Nederlandse rechtsstaat is nog wel op orde. Maar wat er in andere landen met mijn data gebeurt, daar ben ik minder gerust op. Zeker als de kans er is verdacht te worden omdat ik in een bepaalde groep val, in een bepaalde buurt leef, ooit een rare discussie op internet heb gevoerd, of als ik mij daar nooit heb begeven, maar alleen maar mensen ken die dat wel hebben gedaan.

Natuurlijk, het is belangrijk dat veiligheidsdiensten informatie hebben, en ook dat zij onderzoek kunnen doen naar mensen zonder dat zij dit zelf weten. Maar die diensten moeten wél zelf een reden hebben om data te verzamelen en op te slaan. In een dienst die data opslaat zonder dat ze weet waartoe heb ik sowieso al weinig vertrouwen.

En ik zou het al helemaal vanzelfsprekend vinden dat als die data gedeeld wordt, het dan in ieder geval voor de dienst van mijn eigen land duidelijk is welke data precies gedeeld wordt, en waarom.

Mensen maken zich zorgen om de privacy van mensen tegenover bedrijven. Daarvoor wordt nu echter een wet gelanceerd die in ieder geval in de geest een stap vooruit is in de bescherming van mensen tegen kwaadwillenden. Maar voor de overheid gaat het de compleet tegengestelde richting op.

Je kan een hoop klagen over de EU, maar houd wel je nationale regering in de gaten. Want soms is Brussel toch echt een stuk beter dan Den Haag.

  1. 1

    De werking van de wet gaat wel wat verder dan hier vermeld. Ik werk zelf bij een archiefinstelling en daar is de AVG nogal een topic. Of het nu gaat om genealogische gegevens, of de beeldbank.
    Als je bijvoorbeeld foto’s online zet van evenementen in de jaren zestig mag je er, volgens de AVG, in principe niet de namen van de gefotografeerden onder zetten daar deze nog in leven kunnen zijn.

  2. 2

    @1: Eens. Het topic gaat natuurlijk om de sleepwet maar om de AVG een heel goede wet te noemen… nee. In mijn sector zal het de compliancy afdelingen doen groeien, de implementatie consultants rijk maken en de kleintjes (want: die kunnen niet betalen voor de eerste twee) uit de markt drukken. De facebooks en googles van deze wereld maken zich ook het minst zorgen om GDPR.

  3. 3

    Het nadeel van die wet is vooral administratie aan de bedrijfskant. Daarom schreef ik ook dat je er als burger weinig tegen kan hebben ;). Hoe daarmee omgegaan wordt zal de praktijk uitwijzen. Daar zullen naar verloop van tijd, na een lang gezoek en veel kosten, standaarden in gevonden worden. Het ging mij echter om de geest van de wet, en wat het voor de burger betekent: die is voor de privacy qua uitgangspunten goed. En ja, ook Google en Facebook zullen inzicht moeten geven van wat ze opslaan. Maar in zekere zin zijn die bedrijven daar al verder in gevorderd dan de meesten weten. Je kan veel online inzien en vrij makkelijk je dossier opvragen. Dat wordt nu vastgelegd. Ook het weghalen van de data moet makkelijker worden.

    Ja, wat je openbaar deelt kunnen particulieren natuurlijk altijd kopiëren. En bedrijven ook, maar dat zijn dan geen legale praktijken meer.

  4. 5

    Het viel mevrouw zmoooc onlang op dat Marktplaats oudere advertenties niet meer toont. Mijn gok is ter voorbereiding op de GDPR; je kunt immers nog vrij lastig automatisch achterhalen of in zo’n advertentie tot een persoon herleidbare gegevens staan en in 90% van de gevallen zal dat wel het geval zijn.

    Daarmee draagt deze wetgeving sterk bij aan het “digitale zwarte gat”; een aanzienlijk deel van wat we aan “geschiedenis” maken brengen we onder bij derden die zich aan dit soort wetten moeten houden, of dat nou Marktplaats of Facebook is of het archief van @1. En die gaan op safe spelen; de boetes zijn immers potentieel astronomisch hoog. Over 100 jaar zou deze periode in de geschiedenis wel eens een goeddeels lege bladzijde kunnen zijn.

    En dat ligt niet alleen aan de GDPR, absoluut niet, bovendien is het geen reden om de GDPR niet te willen. Maar het is wel iets om over na te denken.

    @1 Een foto van een persoon is ook gewoon een tot een persoon herleidbaar gegeven. Met of zonder naam. En dan niet zomaar een, maar eentje waar afkomst uit af te leiden valt. Mijn beeld van de situatie is dat we nog maar moeten afwachten waar de exacte balans tussen persvrijheid en privacy straks komt te liggen. Maar alleen al door voorzichtigheid te betrachten, gaat onze geschiedschrijving nu al compleet naar de haaien.

    Ik heb er als burger dus van alles tegen. Duitse toestanden.

  5. 6

    Daarmee draagt deze wetgeving sterk bij aan het “digitale zwarte gat”; een aanzienlijk deel van wat we aan “geschiedenis”

    +1
    onze compliance afdeling zegt “hoe minder data je verwerkt, hoe beter”. alsof “data” de nieuwe broeikasgassen zijn. zuiver gedreven door de angst voor de toezichthouder.

  6. 7

    Bij mijn werk zorg ik voor de avg implementatie. Wat een geschenk is die wet zeg. Onze dataset personen is 95% rotzooi. Eindelijk een reden om mensen wat kritischer te laten nadenken welke data we nu wel of niet opslaan. Praktisch betekent avg altijd: Er moet een doel achter zitten.

    Dus is dat de uitvoer van een overeenkomst? Niks aan de hand. Wil je ook promotiemateriaal zenden oid, regel dan toestemming. Krijg je geen toestemming? Dan gaat het waarschijnlijk om een bullshit-lead waar je sowieso geen moeite meer in moeten steken.

    Terug naar de AIVD: Wat ik bizar vind is dat de sleepwet zich niet aan dezelfde grondslagen als de AVG kan houden. Onder “algemeen belang” mag je camera’s ophangen op een pleintje, dus een redelijke mate van surveillance op het internet zou ook moeten kunnen.

    Signaleer je dan een dreiging? Dan is er nog “Gerechtvaardigd belang”: het afvoerputje in de wet waarmee je eigenlijk alles mag doen en laten, mits het doel aantoonbaar opweegt tegen de inbreuk op privacy. Dus als je écht denkt dat er een concrete aanval gaande is, ga je gang AIVD.

    Echter, het is zo dat overheden zich niet op deze laatste grondslag mogen beroepen. Als de sleepwet een uitzondering maakte voor de AIVD, dan had ik het misschien wel prima gevonden. Nu komen er 2 wetten die totaal tegenstrijdig met elkaar zijn, zoals klokwerk prima verwoord heeft.

  7. 8

    Het is de vraag of de extra bevoegdheden voor de AIVD wel enig nut hebben, althans in een rechtsstaat. Het lukt nu al niet “bekenden van de politie” in de gaten te houden, een manco waar niet alleen Nederland mee worstelt. Aanslagplegers in heel Europa en in de VS waren meestal (altijd?) bij veiligheidsdiensten bekend. Het knelpunt is schijnbaar dat het niet lukt gevaarlijke mensen in de gaten te houden, misschien omdat er te weinig functionarissen zijn, misschien omdat er te veel gevaarlijke mensen zijn. Het lijkt mij nuttiger iets te doen aan die zaken, maar vooral dat laatste punt ligt politiek wat gevoelig.

  8. 9

    @Analist: Ik ben zelf burger en ik heb een eigen bedrijf, en ik weet heel goed wanneer ik over een of over het ander praat ;).

    @Zmoooc: Goed punt, maar ik denk dat die terughoudendheid niet slecht is. Ik zie er niet heel veel nadelen aan. Ik denk dat er nog genoeg gedocumenteerd wordt eerlijk gezegd. Maar dat is een inschatting.

    @Analist (2): Een terughoudendheid in het opslaan van data en slechts het essentiële opslaan zorgt er vaak juist ook voor dat informatie beter is terug te vinden. Ik ben er niet van overtuigd dat Big Data ook More Information is: eigenlijk integendeel. Niet-vindbare informatie is geen informatie.

    @Anton: Exact. Goed nadenken over wat je opslaat is wellicht juist waar het in onze samenleving nog teveel aan ontbrak. En dank, we zijn het eens. Ik denk ook dat de AIVD beter gediend zou zijn met meer gerichte informatie, dan met meer informatie die ze niet eens zelf in kaart hoeft te hebben…

    @Kacebee: Juist.

  9. 10

    @9 Misschien nog wel erger dan geen geschiedenis is geschiedenis die is gekuist is op het moment dat het geschiedenis werd.

    En hoewel ik de voordelen ook wel zie, wegen ze wat mij betreft na heel lang nadenken (en met de GDPR bezig te zijn geweest vanuit software-ontwikkel-perspectief) niet op tegen de nadelen. Het “probleem” wordt maar deels gevormd door grote data-hongerige bedrijven. Het echte probleem zijn de mensen die hun gevoelige gegevens overal maar te grabbel gooien. En dat blijven ze gewoon doen.

    Sargasso heeft het qua social links aardig geregeld, maar stuurt nog altijd doodleuk meerdere keren de informatie dat ik hier was naar Google. En geen haan die er naar kraait. Ik had veel liever wetgeving – nee…geen wetgeving… een keurmerk! – gezien dat software-leveranciers dwingt om niet zonder expliciete toestemming allerlei informatie over het internet te strooien.

    Meer in het algemeen ben ik – na lang overpeinzen – inmiddels van mening dat iedere vorm van beperkingen op het verzamelen en ordenen van informatie abject is, ook al is die beperking nog met zulke goede intenties bedacht. Hoezo moeten mijn inbox, adresboek, verjaardagskalender en fotowebsites ineens illegaal worden?!

    Dat betekent dus ook dat ik NIET tegen de sleepwet ga stemmen; we kunnen met zijn allen prima zo communiceren dat helemaal niemand het ooit kan afluisteren. Maar dat doen we niet. Daarom verdienen we een Big Brother. Maar wat niemand verdient, is vrijheidsbeperkende wetgeving omdat mensen te dom zijn om hun eigen privacy te beschermen. Dit soort wetgeving is een glijdende schaal waar ik ons liever niet op zie, want het glijdt niet naar vrijheid toe, maar de andere kant op.

  10. 11

    @9: Een terughoudendheid in het opslaan van data en slechts het essentiële opslaan zorgt er vaak juist ook voor dat informatie beter is terug te vinden.

    onzin. de incompententie (wat datamanagement betreft) in de organisatie van #6 wordt niet opgelost als van buitenaf de eisen worden verlaagd. de incompententie past zich naar beneden aan. daarnaast is het niet de rol van de wetgever om bedrijven “te helpen” met het stroomlijnen van hun interne processen. de wetgever moet afdwingen dat de privacy van klanten voldoende wordt gewaarborgd. als de organisatie van #6 niet zelfstandig daartoe in staat is moet het ander management krijgen of failliet gaan. om voor iedereen de eisen te verlagen (“data arm werken”) is als schieten met een kanon op een mug.

    Goed nadenken over wat je opslaat is wellicht juist waar het in onze samenleving nog teveel aan ontbrak.

    voor *wie* denk jij te spreken?

    @10: eens. daarbovenop: vanuit commercieel perspectief denk ik dat de GDPR leidt tot een kaalslag onder kleine e-commerce bedrijven, en een versterking van Facebook, Marktplaats/Ebay en Amazon. die hebben de technische en juridische middelen om de effecten van GDPR te mitigeren.

  11. 12

    On-topic: de “tegenstelling” van Klokwerk kan opgelost worden als je bedenkt dat verregaand overheidsingrijpen voor hem geen probleem is als deze tegen de juiste mensen gericht is. Bedrijfsleven slecht, dus GDPR top. AIVD slecht (want: in een ver verleden anticommunistisch), dus sleepwet boe.

  12. 13

    @8: Als de inlichtingdiensten alleen de gevaarlijke mensen in de gaten hielden, hadden ze niet zoveel mensen nodig.

    Het probleem is natuurlijk dat ze niet weten wie er gevaarlijk zijn/worden.

    En dat komt gedeeltelijk doordat de BVD/AIVD z´r eigen voorkeuren volgde.

  13. 14

    @Zmoooc: Voor zover ik weet gebruikt Sargasso geen Google Analytics als je daarop doelt ;).

    Deze wet beperkt bedrijven geen informatie op te slaan, ze moeten er alleen openheid over geven, en dat lijkt mij een prima uitgangspunt. Als dat betekent dat bedrijven informatie gaan wissen omdat ze de lui of te dom zijn om informatieopslag te verantwoorden, dan vind ik het prima dat ze het wissen. Er zijn echt nog meer dan genoeg archieven over onze tijd.

    Ik vind je argument dus nogal gezocht: ik heb niet het idee dat er geschiedenis ‘verdwijnt’. Het is alleen zo dat data beter en transparant in kaart moeten worden gebracht. Wat vroeger verborgen en ongewild opgeslagen werd, moet nu oproepbaar zijn.

    @Analist: Je poging mijn standpunt te verdraaien is echt pure onzin. Ik vind bedrijven niet ‘slecht’ en ik vind de AIVD ook niet ‘slecht’. Ik vind alleen dat ze beide zorgvuldig met persoonsdata om zouden moeten gaan. Wat een kleuterachtige manier van discussiëren zeg.

    Ik vind de GDPR ook niet goed voor bedrijven omdat ze bedrijven zou dwingen om handiger gebruik te maken van informatie, dat mogen ze inderdaad helemaal zelf weten, ik gebruikte dit argument om het ook voor de geheime diensten in te stellen dat zij weten wat ze opslaan en waarom.

  14. 15

    @14: Ik vind de GDPR ook niet goed voor bedrijven omdat ze bedrijven zou dwingen om handiger gebruik te maken van informatie, dat mogen ze inderdaad helemaal zelf weten,

    maar je gaf #6 gelijk vanwege dit argument. maar goed, op de inhoud mag je wel in gaan hoor: denk je dat grote of kleine bedrijven de meeste hinder/kosten ondervinden van de GDPR?

    Deze wet beperkt bedrijven geen informatie op te slaan, ze moeten er alleen openheid over geven (…). Als dat betekent dat bedrijven informatie gaan wissen omdat ze de lui of te dom zijn om informatieopslag te verantwoorden, dan vind ik het prima dat ze het wissen.

    Ze moeten wel wat meer doen dan openheid geven. Heb je de richtlijntekst gelezen? Er komt ook een maximale bewaartermijn, bijvoorbeeld.

  15. 17

    Als bezwaar tegen de WIV wordt steeds genoemd dat de wet óok onschuldige burgers aftapt. Vind ik een eng taalgebruik. Iederéen is onschuldig tot het tegendeel bewezen is, verdacht of niet verdacht. Je wilt natuurlijk geen verdachte zijn, maar je kunt niet weten wat er speelt. Iedere crimineel kan in jouw tuin wat begraven hebben dat door de politie wordt gevonden, en hoewel je niets op je kerfstok hebt, kun je het niet onlogisch vinden dat je als (éen van de) verdachte(n) wordt gezien. Als je dat ter ore komt, en merkt dat je wordt afgetapt, zou je dan niet in ieder geval willen dat ze ook eens de telefoons aftappen van al degenen die roepen ‘onschuldig’ te zijn?

    Dan schijnt het ook nog zo te zijn dat mijn gegevens (wat die ook mogen zijn) bij president Erdogan terecht komen. Ha! Hoe belangrijk moet ik zijn om me daar druk over te maken? Hoe kneuterig moet mijn doen en laten zijn om me ongemakkelijk te voelen als er door wie dan ook wordt meegekeken?@16:

  16. 18

    Als bezwaar tegen de WIV wordt steeds genoemd dat de wet óok onschuldige burgers aftapt. Vind ik een eng taalgebruik. Iederéen is onschuldig tot het tegendeel bewezen is, verdacht of niet verdacht. Je wilt natuurlijk geen verdachte zijn, maar je kunt niet weten wat er speelt. Iedere crimineel kan in jouw tuin wat begraven hebben dat door de politie wordt gevonden, en hoewel je niets op je kerfstok hebt, kun je het niet onlogisch vinden dat je als (éen van de) verdachte(n) wordt gezien. Als je dat ter ore komt, en merkt dat je wordt afgetapt, zou je dan niet in ieder geval willen dat ze ook eens de telefoons aftappen van al degenen die roepen ‘onschuldig’ te zijn?

    Dan schijnt het ook nog zo te zijn dat mijn gegevens (wat die ook mogen zijn) bij president Erdogan terechtkomen. Ha! Hoe belangrijk moet ik zijn om me daar druk over te maken? Hoe kneuterig moet mijn doen en laten zijn om me ongemakkelijk te voelen als er door wie dan ook wordt meegekeken?@16: