Home Actueel Jij bent niet de baas over jouw gegevens

Jij bent niet de baas over jouw gegevens

Blog

Auteur: Jan Bosma

vrouw kijkt door files

Een paar weken geleden publiceerde de Autoriteit Persoonsgegevens een advies over het voorstel om de Wet hergebruik overheidsgegevens aan te passen.1 De Autoriteit is in haar advies kritisch op het wetsvoorstel. Het advies ging gepaard met een persbericht, waarin die kritiek nogal kort door de bocht wordt samengevat. Eén zin stoorde me in dat persbericht in het bijzonder. De vice-voorzitter van de AP stelt: ‘Jij bent de baas over jouw gegevens’. 2

Naar mijn smaak geeft de AP in haar berichtgeving aan het brede publiek een veel te eenzijdig beeld van gegevensbescherming. Met name in blogs en persberichten. Daarmee schept het verkeerde verwachtingen bij burgers.

De versimpelde berichtgeving van de AP is problematisch

Want dat zinnetje ‘jij bent de baas over jouw gegevens’ is geen unieke uitspatting. In de blogs van voorzitter Aleid Wolfsen is ‘het heft in eigen handen nemen’ een terugkerend thema:

Maak […] bewust de afweging of u het waard vindt om (deels) met uw persoonsgegevens te betalen. Zodat u zelf over uw gegevens gaat. En daarmee over úw vrijheid.3

Dus heeft u ook iets te beschermen? Houd dan uw hand op de knip wat betreft uw persoonsgegevens. Maak gebruik van uw privacyrechten om ervoor te zorgen dat organisaties niet meer van u weten dan nodig.4

Ik vind die versimpelde berichtgeving problematisch. Die korte berichten zijn juist bedoeld voor een publiek dat niet goed in de materie zit en de uitgebreide rapporten en onderzoeken niet gaat lezen.5 Sterker nog, het nieuwsbericht van de NOS dat hierover ging baseerde zich compleet op het persbericht, en niet op het inhoudelijke advies.6

Telkens weer lezen burgers dat ze goed op moeten passen en vooral gebruik moeten maken van hun AVG-rechten. Om voor zichzelf en de vrijheid op te komen. Wat mij betreft legt de AP hier haar taak verkeerd uit.

De AP is niet alleen maar ‘waakhond’

Voor de goede orde: de AP is niet alleen maar waakhond. Het publiek informeren is wel één van de taken van de AP. De nationale toezichthouder “bevordert bij het brede publiek de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten in  verband met de verwerking.”7 Je kunt die taak vrij letterlijk interpreteren en constant hameren op de risico’s van gegevensverwerkingen. En mensen aansporen om hun AVG-rechten in te zetten als een soort wapen. 

Daarmee focus je je op één van de twee doelen van de AVG: het beschermen van grondrechten bij gegevensverwerkingen. Maar ik denk dat het schadelijk is voor wat de AVG probeert te bereiken. Zulke berichtgeving kan verwachtingen van zeggenschap oproepen die vaak niet haalbaar en wenselijk zijn. En het maakt organisaties bang om hun werk te doen. Dus of het écht bijdraagt aan bescherming, is maar de vraag.

Daarnaast belemmert de AP potentieel het tweede doel van de AVG: het bevorderen van het vrije verkeer van persoonsgegevens in de Unie.8 Sterker nog, toezien op dat tweede doel is de kerntaak van de AP. Artikel 51 lid 1 AVG verplicht elke lidstaat een toezichthouder aan te wijzen, “teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken.”9

Ben ik wel veilig als ik niet de baas ben?

De AP moet toezien op naleving van de AVG en het publiek erover informeren. Zelfs als vakidioot moet ik bekennen: het is een ingewikkelde wet, omdat er héél veel in staat en hij héél veel open normen bevat. Ik snap dus dat de AP de informatie wat moet versimpelen voor het brede publiek. Maar die open normen zijn wat mij betreft nou net de pracht van de wet.

De AVG laat ontzettend veel ruimte voor context en afweging. Klinkt vaag? In de praktijk kan dat juist heel mooi werken. Want in de ene context ben je inderdaad de baas en is het heel belangrijk dat je in grote mate zeggenschap hebt. Bijvoorbeeld in je vertrouwensrelatie met een arts, advocaat of vertrouwenspersoon. Een gebrek aan zeggenschap in die context kan betekenen dat je niet de hulp zoekt die je nodig hebt. Dat kan vervelende gevolgen hebben.

Maar in de andere context ben je gewoon niet de baas. Stel je voor dat iedereen zelf mocht bepalen wat de Belastingdienst van ze weet. Of wat ze met die informatie mogen doen. De overheid zou krakend tot stilstand komen. Ik durf niet te gissen naar wat dát zou doen met onze rechten en vrijheden. Of stel je voor dat je verwijdering van je gegevens kunt eisen van een winkel waar je nog schuld hebt uitstaan. Zo werkt het gewoon niet.

Dat betekent niet dat we ten aanzien van de overheid passief moeten accepteren dat processen langzaam Kafkaëske vormen aan kunnen nemen. Ook daar moet je, indien nodig, informatie op kunnen halen over wat er nou met je gegevens gebeurt, moet je rectificatie kunnen eisen als gegevens verkeerd verwerkt worden en moet je op andere manieren bezwaar kunnen indienen als dat nodig is. Laat dat nou net rechten zijn waar de AVG al in voorziet.

Dat is wat mij betreft de crux. Als de AVG goed wordt nageleefd, hoef je helemaal niet de baas over je gegevens te zijn. Want dan pakken verwerkingsverantwoordelijken hun verantwoordelijkheden op en gaan ze netjes met jou en jouw info om.

Laten we de focus verleggen van zeggenschap naar context

Ik zeg niet dat er geen werk aan de winkel is. Van grote techbedrijven is allang bekend dat zij vervelende praktijken gebruiken om geld te verdienen aan informatie over mensen, soms ten koste van die mensen of hun samenleving. Ook onze eigen overheid breekt nog wel eens normen op een zodanige wijze dat er internationale verontwaardiging over ontstaat.

Maar dat soort problemen lossen we niet op met meer zeggenschap. In de Toeslagenaffaire hebben mensen echt wel geprobeerd informatie, inzage en rectificatie te krijgen. Ze kregen het niet. Social media gebruiken juist die ‘zeggenschap’ om je meer te ontfutselen dan ze nodig hebben, via grote vrolijke toestemmingsknoppen. Ik zeg op LinkedIn steevast ‘ik wil dit niet zien’ bij irritante complottheorieën, maar het algoritme heeft allang bepaald dat mijn aandacht er wel op blijft hangen en ik er dus meer van moet krijgen.

Het is een romantisch beeld om te denken dat mijn inzageverzoek een Meta of Belastingdienst tot andere praktijken zou overtuigen. Dat alle grote problemen in gegevensverwerkingsland voorkomen zouden worden als de leken zelf konden bepalen hoe hun gegevens verwerkt werden. Het is ook een onrealistisch beeld. In zulke situaties is namelijk niet de AVG het probleem. En ook niet de mate waarin zij zeggenschap biedt. Het probleem is dat de AVG en vaak ook vele andere wetten worden overtreden. En laten we daar nu net een toezichthouder voor hebben aangewezen.

Het zou de AP, en ook journalisten, sieren als ze zouden stoppen met schrijven over privacy en gegevensbescherming als een simpele kwestie van ‘jij bent de baas dus bescherm jezelf goed.’ Want daarmee impliceer je ook een verschuiving van verantwoordelijkheden. Als je echt de baas bent, is het dus jouw taak om misstanden te voorkomen en je eigen schuld als het niet lukt.

We kunnen beter focussen op waar gegevensbescherming écht om draait: zorgen dat organisaties netjes met informatie over jou omgaan. Zorgen dat ze die verantwoordelijkheid voelen. Zorgen dat ze snappen dat context uitmaakt, dat ze soms éxtra voorzichtig moeten zijn en dat het soms wat minder uitmaakt. En dat ook burgers dat snappen: soms moet je heel goed oppassen, en kritisch zijn. En soms (VAAK!) mag je best ontspannen en vertrouwen op een goede afloop. Want dat is waar de AVG over gaat. Over context. Over risicogestuurd werken en prioriteren. Over het afwegen van belangen. Zeggenschap bieden als het moet, zelf verantwoordelijkheid nemen als dat beter past.

Voor de privacyprofessionals

Stuur in je organisatie niet blind op zeggenschap en wees vooral voorzichtig met de verwachtingen die je schept bij betrokkenen. Je hebt een prachtig instrument om context- en risicogestuurd te werken. Draag dat uit, naar je collega’s en naar betrokkenen. En ben je bang dat jouw collega’s van de marketing dan gegevens van klanten gaan misbruiken, om ze hun huisdieren of sieraden af te pakken? Dan kun je mij bellen en kom ik je helpen.

1 https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_wijziging_wet_hergebruik_overheidsinformatie.pdf
2 https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-stel-grenzen-aan-opnieuw-gebruiken-van-persoonsgegevens-uit-overheidsdata
3 https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacyblog-aleid-wolfsen-vrij
4 https://autoriteitpersoonsgegevens.nl/nl/nieuws/blog-aleid-wolfsen-niet-meer-dan-nodig
5 Want voor de duidelijkheid, ik vind zelf dat de AP in officiële rapporten en adviezen vaak veel genuanceerder is. Ik ben het niet altijd met ze eens, maar ben ook zeker niet van mening dat ze alleen maar aan toestemming kunnen denken.
6 https://nos.nl/artikel/2440102-privacywaakhond-overheid-mag-persoonsgegevens-niet-zomaar-meer-delen
7 Artikel 57.1.b AVG.
8 Zie alleen al de volledige titel.
9 Artikel 51.1 AVG

Over de auteur

mr. Jan Bosma

mr. Jan Bosma

CIPP/E CIPM

Senior Legal Consultant

Jan is legal consultant bij PMP. Hij is juridisch geschoold en kan zich nog steeds met veel plezier vastbijten in ingewikkelde juridische vraagstukken. Hij vindt gegevensbescherming geweldig interessant, omdat het een spanningsveld oplevert tussen snel veranderende maatschappelijke opvattingen en technologische ontwikkelingen, traag veranderende wetten, en hele reële menselijke belangen.
Terug naar het overzicht