door Hans Groenhuijsen, april 2018.

Na 25 mei moeten we gaan voldoen aan de Algemene Verordening Gegevensbescherming.
Lastig allemaal, maar ook een logische stap in een door data gedomineerde wereld. Het wordt balanceren tussen vrijheid en (doorgeschoten) markt enerzijds en regels en level playing field anderzijds.

1. De Algemene Verordening Gegevensbescherming.

We zijn weer wat afkortingen rijker: AGV-Algemene Verordening Gegevensbescherming , DSGVO-DatenSchutzGrund Verordnung, RGPD – Réglementation Générale sur la Protection des Données) RGPD – Regolamento Generale sulla Protezione dei Dati; dat laatste klinkt alweer een stuk vriendelijker.

En onze begrippenlijst is wat langer geworden: doelbinding, Data protection Impact Analyse, verwerker en bewerker privacy by design of by default. De komst van deze wet/verordening was lang geleden aangekondigd en officieel is de wet eigenlijk al in werking getreden in mei 2016, 2 jaar uitstel dus al. Maar de druk gaat pas echt op de ketel op 25 mei .a.s. en zelfs dat is volgens insiders al geen hard gegeven meer; een coulante houding, beperkt of niet straffen, of zelfs uitstel horen weer tot de mogelijkheden. Polderen kunnen we goed in den Haag maar in Brussel is dat ook tot hogere kunst verheven. Volgens veel betrokkenen is het allemaal een storm in een glas water. Er is veel rumoer, veel publiciteit, veel adviseurs verdienen er een goede boterham aan; maar het is veel gedoe over niets. De kritiek is niet van de lucht. De wet wordt gezien als het zoveelste voorbeeld van ondernemertje pesten, een gedrocht van een wet uit de Brusselse krochten. Het leidt tot niets, behalve heel veel werk en bureaucratie. We schieten met een jachtgeweer op een mug. En natuurlijk is er de bekende dooddoener: goed dat ze er iets aan doen (aan privacy in dit geval), maar dit slaat nergens op. Of: goed dat ze er iets aan doen, maar waarom ik/wij? Het bekende NIMBY gedrag: “not in my backyard”; doe het dan maar, maar niet in mijn achtertuin. Dat is het mooie van wetten. Veel gedoe en weerstand zijn vaak een teken dat er iets of iemand wordt geraakt, en de wet dus misschien zelfs effect gaat hebben. Wetten die niet tot verandering (en hopelijk verbetering) leiden, en dus alles laten zoals het was, zijn verleidelijk voor veel burgers, maar natuurlijk compleet zinloos.

2. Data is hot.

Toch maar eens terug naar de context van de wet.Bescherming van persoonsgegevens kenden we al, maar de wereld verandert snel (een dooddoener, maar erg waar).
Data (persoonsgegevens is daarvan slechts een deelverzameling) is al een aantal jaren het grote toverwoord. De hoeveelheid data die we rondpompen is gigantisch, in steeds meer vormen en formats, met een steeds grotere verscheidenheid. Data/gegevens waren vroeger zo’n beetje tekenen van bureaucratie: veel gegevens, lekker registreren en vastleggen, compleet reactief/ achteraf, veel op zichzelf staande cijfertjes en feiten met weinig of geen samenhang, weinig informatie. Welkom in de 21ste eeuw: data worden eindeloos geaggregeerd, gebundeld, met elkaar verbonden en dat genereert weer meer data op een hoger niveau. Data en datastromen versnellen, worden geanalyseerd en omgezet in informatie. Data ontstaan real time en 24/7 en worden ook zo verwerkt en bewerkt, bieden al la minute inzicht, hebben voorspellende waarde. Data zijn grens over-schrijdend, letterlijk en figuurlijk, de waarde ervan is grenzeloos. Data worden grenzeloos veel gedeeld uit allerlei bronnen in allerlei verschijningsvormen(tekst, cijfers, gesproken woord, beeld, geluid, gedrag).
Data zijn inmiddels een business op zich geworden; data zijn de bouwstenen van nieuwe services, ze vormen het cement tussen verschillende producten/diensten.

Data zelf is big business, zo zien we dit voorjaar (voor de zoveelste keer) met Facebook-Zuckerberg. Maar zet de rest van de “Frightful Five” ook maar in die galerij: Microsoft, Apple, Amazon, Google en dus die smoelenlijst welke bijna 15 jaar geleden ontstond op Harvard onder de handen van die Zuckerberg. Er zijn redenen genoeg om waakzaam te blijven bij deze 5 grote jongens (en vele anderen); gebrek aan transparantie, dreiging van monopolies, en het oneindige vermogen om data te verzamelen, koppelen, verrijken en te verkopen. We moeten privacy waarborgen en personen en hun gegevens beschermen, maar de grote opgave wordt om data te beschermen tegen personen; niet alleen notoire criminelen, maar ook de al genoemde grote tech-jongens, de adverteerders, nepnieuws verspreiders en idiote politici.
Een veelzeggend citaat uit de recente Facebook hearing in de senaat, senator Kennedy windt er geen doekjes om en zegt tegen Zuckerberg: “Here’s what everyone’s been trying to tell you today — and I say it gently — your user agreement sucks. The purpose of a user agreement is to cover Facebook’s rear end, not inform users of their rights.”

3. Data protection: vrijheid of regels.

Bescherming van personen en hun gegevens is al met al dan misschien een kleine bescheiden stap te midden van al dit grote data-geweld. Maar het begin is er. Laten we hopen dat de verordening geen papieren tijger blijkt te zijn. We zijn begonnen met afspraken en regels vast te leggen over de opslag, verwerking en het gebruik van persoonsgegevens. Er zijn regels over wat we mogen opslaan, en hoe en voor hoe lang. En de rechten van de consument zijn vastgelegd met mogelijkheden om zijn data in te zien, te verwijderen, toestemming te geven tot opslag en gebruik.
Het moet werkbaar blijven allemaal voor wetgever, consument en onderneming. En we moeten voorkomen dat wetgeving teveel gaat belemmeren.

En daar wordt een klein dilemma zichtbaar. Teveel bescherming en regelgeving (bijvoorbeeld nu rondom privacy) kunnen mooie innovaties in de kiem smoren. De genoemde platform-modellen, op data gebaseerde services, samenwerken en netwerken van verschillende spelers, kunnen in de verdrukking komen als de brandstof van deze modellen, de data dus, gaat haperen. Het is ook de vraag in hoeverre regelgeving (Europees in dit geval) voldoende reikwijdte heeft om ook de grote tech-spelers binnen de lijntjes te houden. Risico is dat de kleinere (meer traditionele) bedrijven allerlei beperkingen gaan ondervinden, terwijl Facebook c.s. er met de buit vandoor gaat. Wetten en regels betekenen trouwens ook dat gelegitimeerd in zekere zin inbreuk wordt gemaakt op de privacy, op die persoonsgegevens. Een “hoger doel” (staatsveiligheid, antiterrorisme, spionage) telt zwaarder dan de privacy van de burger. De discussies over de “sleepwet” en het referendum daarover laten zien dat de Nederlandse burger hier nogal kritisch naar kijkt.

Te weinig bescherming maakt de consument tot speelbal en slachtoffer (zonder het zelf te weten) van ondernemingen die data als goudmijn exploiteren. Het wordt dus het zoeken van een balans:
. willen we vrijheid of regels, of houden we juist die vrijheid door de regels
. willen we markt of overheid
. willen we powerplay of dat mooie “level playing field”?

Wij vinden er iets van. Hopen dat Brussel dat ook doet, en er naar handelt.

april 2018.

  • Binnenkort verschijnen nog meer artikelen over data en de Algemene Verordening Gegevensbescherming.
  • Deze worden gepubliceerd via https://www.linkedin.com/in/4fieldshansgroenhuijsen/ en via mijn website https://www.hansgroenhuijsen.nl.
  • Daar kunt u ook aangeven via https://www.hansgroenhuijsen.nl/inschrijven-kennisblogs/ dat u voortaan alle artikelen/columns wenst te ontvangen.
  • U kunt mij ook boeken voor presentaties over allerlei thema’s in de automotive en mobiliteit wereld.
  • En natuurlijk kunt u mij inschakelen als adviseur of project manager op het thema AVG en privacy maar ook voor een breed scala aan andere vraagstukken.