Gisteren was het precies vijf jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) van kracht werd in Nederland. Inmiddels zijn de meeste bedrijven en organisaties vertrouwd met die Europese regelgeving voor de verwerking van persoonsgegevens. Maar reden voor een groot feest is het jubileum niet.
Zo hebben bedrijven en organisaties de privacyverklaring op hun websites vaak niet op orde. Uit een steekproef van Stichting AVG, die bedrijven helpt om te voldoen aan de EU-verordening, blijkt dat bij dertig procent van de websites de verplichte informatie over wat er met de persoonsgegevens van een klant of burger gebeurt, ontbreekt. Het is dan niet duidelijk waarom en hoe persoonsgegevens verwerkt worden.
Het gaat om zo’n 1400 Nederlandse websites van uiteenlopende organisaties in tien verschillende branches. Vooral kleinere organisaties scoren slecht. Er staat helemaal geen privacyverklaring op de websites of deze is niet eenvoudig toegankelijk. Met name kleinere financiële dienstverleners, scholen en horecagelegenheden laten steken vallen. In de zorg en de makelaardij delen organisaties vooraf wel uitgebreide info over data en privacy.
Minder vertrouwen
Uit het jaarlijkse privacyonderzoek van KPMG blijkt dat slechts 19 procent van de Nederlanders de overheid anno 2023 vertrouwt als het gaat om de omgang met persoonsgegevens dan vijf jaar eerder. Toen lag het percentage nog op 32 procent. De toeslagenaffaire en het datalek bij de GGD tijdens de coronacrisis hebben het vertrouwen in de overheid en privacy ernstig geschaad, denken de onderzoekers.
‘De overheid verwerkt grote hoeveelheden (bijzondere) persoonsgegevens, waarbij mensen vaak wettelijk verplicht zijn om deze gegevens te verstrekken. Zij moeten er blind op kunnen vertrouwen dat de overheid uiterst zorgvuldig omgaat met hun persoonsgegevens’, zegt onderzoeker Stephan Idema van KPMG.
Dat het vertrouwen in de overheid met de omgang van persoonsgegevens is gedaald, sluit volgens KPMG overigens aan bij de bredere trend van afnemend vertrouwen in de instanties. ‘Die afname is de afgelopen jaren ontstaan als gevolg van diverse gebeurtenissen, waaronder de coronacrisis, de behandeling van de toeslagenaffaire, de hoge inflatie en het Groningen-dossier.’
AI
Volgens KPMG zijn meer dan de helft (52 procent) van de Nederlanders bezorgd over de opkomst van artificiële intelligentie (ai), waaronder algoritmen, met betrekking tot hun privacy. Ook zegt 45 procent een mens meer te vertrouwen dan een algoritme als het gaat om het nemen van beslissingen over hun privacy. Een derde vreest dat het gebruik van hun persoonlijke gegevens door algoritmen zal leiden tot discriminatie.
Positieve noot
Er zijn ook positievere geluiden te horen in het jubileumjaar van de AVG. Piwik Pro, maker van een privacy-first platform voor data-analyse, stelt dat bedrijven binnen de Europese Unie steeds beter de balans weten te vinden tussen compliance en ‘effectieve’ marketing.
Uit eigen onderzoek onder driehonderd algemeen directeuren, marketingdirecteuren en hogere marketingfunctionarissen van bedrijven in de EU, blijkt dat er een ‘enorme verschuiving’ heeft plaatsgevonden in hoe zij aankijken tegen de AVG en tegen de verplichtingen die daarmee gepaard gaan. ‘De AVG is door sommigen wel gekarakteriseerd als ‘Europeanen die zichzelf doodreguleren’. Het is mogelijk dat de AVG een einde heeft gemaakt aan sommige bedrijfsmodellen, maar privacy en compliance worden inmiddels wel door veel bedrijven omarmd’, aldus Piotr Korzeniowski, directeur van Piwik Pro.
Ruim vier op de vijf (80 procent) van de respondenten zegt namelijk dat het zeker mogelijk is om een goede balans te vinden tussen effectieve marketing en privacy compliance. Dit is bijna 20 procent meer dan in de survey van 2022 (63,2 procent). Ook is ruim zeventig procent van de respondenten van mening dat de wet makkelijk te begrijpen is. Bedrijven nemen privacy-evaluaties van hun technologie ook serieuzer – een derde (33 procent) doet deze evaluaties regelmatig, terwijl iets meer – 36 procent – deze af en toe uitvoert.
Recordboete Meta
‘De recente ophef in Europa rond het gebruik van Facebook en Google Analytics heeft mogelijk de populariteit van Europese en in de EU gehoste marketingplatforms vergroot’, denkt het bedrijf. Veel organisaties (58 procent ) gebruiken al marketingsoftware waarvan de servers in de EU staan, terwijl driekwart overweegt om hun big tech-tools te vervangen door Europese alternatieven. ‘Dit is een aanzienlijke stijging ten opzichte van de 50 procent van vorig jaar.’
Dat privacy-overtredingen steeds serieuzer worden aangepakt door de EU, blijkt ook uit de recente boete van €1,2 miljard voor Meta, het moederbedrijf van onder meer Facebook. Dit is de hoogste AVG-boete tot nu toe. Meta kreeg deze boete voor het overzetten van gegevens van Europese Facebook-gebruikers naar servers in de VS op basis van de zogeheten ‘standard contractual clauses’ (sccs).
Wat nog ontbreekt in dit artikel is de gegevens die in de Amerikaanse cloud worden opgeslagen, zoals patiëntgegevens van het Gelre ziekenhuis in Azure. Microsoft valt onder de Amerikaanse wetgeving valt en is verplicht om de Amerikaanse overheid toegang te verlenen tot de patiëntendossiers.
Je kan wel versleutelen, maar zolang je de gegevens kunt doorzoeken heeft het weinig nut, de dossiers zijn inzichtelijk in ieder geval op het moment van doorzoeken wat gemakkelijk af te tappen is.
Dit voldoet niet aan de AVG.