Met het symposium nog vers in het geheugen is het tijd voor een nieuwe blog, met als onderwerp: Privacy! De GPDR, General Data Protection Regulation (hierna: GDPR) gaat per 25 mei 2018 in werking. Althans, dan verstrijkt de implementatietermijn van de verordening. Het is natuurlijk even afwachten of Nederland deze deadline gaat halen. Tijdens het Lustrum-symposium is de GDPR al aangestipt; in dit blog zal ik hierover iets uitweiden. Het doel is om de oude richtlijn, stammend uit 1995, te vervangen. In 2012 initieerde de Europese Commissie de Algemene Verordening Gegevensbescherming. De reden hiervoor was de digitalisering van de maatschappij, de enorme toename van dataverkeer en de roep om meer privacy voor de burgers. In 2015 is er overeenstemming bereikt tussen het Europees Parlement en de Raad. Op 25 mei 2016 is de verordening in werking getreden. Nu de implementatietermijn van twee jaar bijna is verstreken is het tijd om te kijken wat er allemaal gaat veranderen.

Doordat de verordening rechtstreekse werking heeft komt de Wet Bescherming Persoonsgegevens te vervallen. Hiervoor in de plaats komt de uitvoeringswet Algemene Verordening Gegevensbescherming. Met deze gemoderniseerde wetgeving moet privacy weer iets van de burger worden doordat de burger meer beschikking over zijn data krijgt en ook kan afdwingen dat bedrijven of instellingen inzicht geven in het gebruik hiervan. Bovendien moet de verordening zorgen voor een uniform beschermingsniveau voor Europese onderdanen.1 Daarnaast biedt de AVG ruimte voor het vrij verkeer van persoonsgegevens. Doordat er nu nog een verbastering is qua wetgeving, elke lidstaat heeft de oude richtlijn op haar eigen wijze geïnterpreteerd, heeft dit als gevolg dat er geen uniformiteit is in de wetgeving wat het vrij verkeer van persoonsgegevens moet oplossen. Doordat de richtlijn omgezet diende te worden ontstaat er veelal verschil tussen lidstaten, dit wordt opgelost met een verordening.

De grootste verandering die eraan zit te komen is de invulling van het begrip persoonsgegevens. Met de introductie van de GDPR wordt de invulling hiervan ruimer. Zo vallen per 25 mei ook IP-adressen en MAC-adressen onder de noemer persoonsgegevens.2 3 Alle verwerkingen van persoonsgegevens dienen gedocumenteerd te worden, in het bijzonder het doel en de beveiliging hiervan. De Functionaris Gegevensbescherming (hierna: FG) wordt in het leven geroepen, deze (onafhankelijke) persoon dient binnen de organisatie toezicht te houden op de naleving van de GDPR. Een FG is verplicht als er op grote schaal gevoelige gegevens worden verwerkt en in het bijzonder gezondheidsgegevens. Werkt een bedrijf of instantie met buitenlandse partijen en slaan deze persoonlijke data binnen of buiten de Europese Unie op dan is dit alleen toegestaan voor een door de Europese Commissie gecertificeerd land.4 Voor Amerikaanse partijen is het Privacy Shield een voorbeeld hiervan.5 Daarnaast gaan de boetebedragen aanzienlijk omhoog, waar dit eerst 900,000 euro was gaan de bedragen onder de GDPR naar maximaal 20 miljoen óf 4% van de jaaromzet mocht dit de 20 miljoen overstijgen. Met de toevoeging van het laatste, een percentage van de jaaromzet, poogt de Europese Commissie marktgiganten zoals Facebook en Google in toom te houden. Het komt regelmatig voor dat Facebook het niet zo nauw neemt met de regels, een kleine opsomming: in 2010 gaf Facebook toe dat er data gedeeld werd met derde partijen ten behoeve van advertentie-inkomsten.6 Zo publiceerde het in 2013 de data van 6 miljoen van haar gebruikers online.7

Tot slot kwam de Autoriteit Persoonsgegevens na een onderzoek in 2017 erachter dat Facebook op grote schaal de privacy van haar gebruikers door het niet of onvolledig informeren van haar gebruikers. Zo werden gegevens omtrent geaardheid, die kunnen worden gekwalificeerd als bijzonder persoonsgegeven van gevoelige aard, gebruikt voor gerichte advertenties.8 Niet alleen Facebook springt laconiek om gegevens van derden. Zo kwam recentelijk naar boven dat Uber een in 2016 bekend geraakt lek in de doofpot heeft geprobeerd te stoppen.9 Gegevens van 57 miljoen gebruikers en chauffeurs zijn ontvreemd. Als klap op de vuurpijl heeft Uber ook nog een 100,000 dollar betaald aan de hackers om dit fiasco onder de radar te houden.10

Hieruit zou je kunnen concluderen dat niet alleen Facebook het zo nauw neemt met privacy. Dit is een trend van de laatste jaren. Gezien de enorme industrie die achter het verwerken van data zit. Iemand die tien jaar geleden zei “bedrijven brengen jouw surfgedrag in kaart om daaruit een profiel op te bouwen en daarmee aan gerichte advertising te doen” werd voor gek verklaard. Tegenwoordig is het normaal, althans het gebeurt op grote schaal. Op het moment dat jij bijvoorbeeld de Facebook-app opent begint deze op grote schaal data te verzamelen. Gebruiker kijkt 4 seconden naar dezelfde foto? Wellicht komt het in aanmerking voor een vriendschapsverzoek. Klinkt eng, is het ook. Zonder dat je het doorhebt word jij als persoon in kaart gebracht aan de hand van data die Facebook verzamelt waar zij conclusies aan verbindt. Dit opgebouwde profiel kan weer worden doorverkocht aan advertentie-aanbieders. Zodoende betalen wij onbewust mee aan de goedgevulde portemonnee van Mark Zuckerberg tijdens het doelloos naar beneden scrollen op je tijdlijn.

Ik wil graag afsluiten met de volgende vraag: privacy, anno 2017 een illusie?

Jeroen van Kampen.

Tip: geef je iets om je eigen privacy? Gebruik dan Facebook via een browser, via de app geef je toestemming voor het verzamelen van data zoals je contacten, met wie je hebt gebeld, hoe vol je batterij is enzovoort. Via een browser zijn deze mogelijkheden vele malen beperkter.

  1. Voorsorteren op de algemene gegevens verordening, twee stappen terug één vooruit. NJB 2016/1077
  2. https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-1-algemene-bepalingen-art-1-tm-5/artikel-1-sub-wbp
  3. IP-adres: het adres van een entiteit (apparaat) verbonden met het netwerk, MAC-adres: het adres van de netwerkadapter van het verbonden apparaat.
  4. https://ictrecht.nl/factsheets/algemene-verordening-gegevensbescherming-verandert-er-echt/
  5. https://www.privacyshield.gov/welcome
  6. http://www.telegraph.co.uk/technology/facebook/8070513/Facebook-admits-inadvertent-privacy-breach.html
  7. https://www.facebook.com/notes/facebook-security/important-message-from-facebooks-white-hat-program/10151437074840766
  8. https://www.volkskrant.nl/tech/autoriteit-persoonsgegevens-facebook-schendt-de-privacy-van-zijn-gebruikers~a4495073/
  9. https://www.nrc.nl/nieuws/2017/11/22/uber-geeft-datalek-van-57-miljoen-klanten-toe-a1582141
  10. https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data