Michel Klompmaker
Het is vandaag precies drie jaar geleden dat de GDPR van kracht werd. De Europese wetgeving die schril afsteekt ten opzichte van wat men in de USA en China belangrijk vindt. In Europa omarmen we namelijk vooruitgang, op voorwaarde dat de mens wel centraal blijft staan. En niet zoals aan de andere kant van de Atlantische Oceaan en in China, waar respectievelijk het bedrijfsleven en de overheid (lees de communistische partij en haar leden) centraal staan. De Europese wetgever heeft er heel bewust voor gekozen om de mens controle te geven over technologische toepassingen met persoonsgegevens door eerst een nieuw en modern grondrecht in het leven te roepen – ‘De bescherming van persoonsgegevens’, artikel 8 van het Handvest van de grondrechten van de EU.
In Europa willen we liever niet dat de overheid alles van ons te weten komt. Maar niet alleen dat, ook willen we niet dat de bekende techgiganten langzamerhand de macht over ons krijgen, door sneaky telkens eenzijdig de gebruiksvoorwaarden aan te passen van bepaalde tools. Het gevaar is duidelijk: doordat ze “alles” van ons weten kunnen ze ons gedrag beïnvloeden. Laat staan controle krijgen en mogelijk misbruik maken van de informatie over onze politieke of seksuele voorkeur, ons opleidingsniveau of culturele afkomst.
De Autoriteit Persoonsgegevens (AP) doet bij monde van haar voorzitter Aleid Wolfsen een morele oproep aan alle organisaties – maar ook aan ontwikkelaars – om in ieder voorstel voor een datagedreven oplossing, gegevensbescherming als voorwaardelijke eis mee te nemen. Altijd. En daar gedurende het hele proces kritisch op te blijven. Als rode draad in het ontwikkeltraject.
Aleid Wolfsen: “Want als u een oplossing bedenkt voor de mens, wilt u daarmee geen nieuw probleem creëren door grondrechten te schenden. Weet ook dat wanneer u gegevensbescherming vanaf het begin meeneemt in uw denkproces – dus als u werkt conform de principes van privacy by design, privacy by default en transparantie – dit veel minder tijd en geld kost dan wanneer u met terugwerkende kracht hardnekkige datavlekken uit uw systemen moet zien te poetsen. Bijvoorbeeld als blijkt dat uw systemen toch niet zo anoniem werken als u dacht, eenvoudig te hacken zijn of per ongeluk veel meer persoonsgegevens registreren of combineren dan de bedoeling is.”
Ondertussen zijn er door de AP de afgelopen drie jaren al boetes uitgedeeld. Zo kreeg onlangs de gemeente Enschede nog een boete van enkele tonnen, om precies te zijn 600.000 euro. De hoogste boete tot op heden was voor het Bureau Krediet Registratie dat een financiële drempel opwierp voor consumenten om hun gegevens te kunnen inzien. Zij mochten vorig jaar 830.000 euro boete betalen. De AP liet in dit verband weten dat “Inzage in persoonsgegevens over kredietregistraties heel belangrijk is. Een negatieve kredietregistratie kan gevolgen hebben voor het krijgen van een lening of hypotheek. Het is dus belangrijk om makkelijk en snel te kunnen nagaan welke persoonsgegevens van jou worden verwerkt en of dit op een goede manier gebeurt.”
Het zijn ook kleinere bedragen die opgelegd kunnen worden. Zo moet de PVV Overijssel 7.500 euro betalen wegens het niet melden van een datalek. Bij booking.com was dat iets meer, namelijk 475.000 euro, ook als gevolg van het niet melden van een datalek.