Als het gaat om de AVG blinkt de voorzitter van de Autoriteit Persoonsgegevens ('Neerlands hoop in bange privacydagen') nog niet uit in duidelijkheid. "Wees die rots in de branding."
Per vandaag (25 mei) geldt de Algemene verordening gegevensbescherming (AVG). De paniek onder bedrijven is inmiddels groot, kan ik u verklappen. Uit allerlei onderzoeken blijkt dat ook eigenlijk niemand echt helemaal klaar is voor is de AVG, maar de donderwolken met 20 miljoen aan boetes hangen wel boven je hoofd. Intussen straalt de AVG niet echt uit in duidelijkheid.
Wat is ‘incidenteel’ verwerken in verband met het verplichte verwerkingsregister? Of wat is ‘grootschalig’ verwerken in verband met de verplichte PIA of FG? Dan wil je kunnen bouwen op een betrouwbare waakhond (de Autoriteit Persoonsgegevens – AP) als Neerlands hoop in bange privacydagen. Maar niets is minder waar. Helaas. Althans voor wat betreft het boegbeeld en spreekbuis van de AP, de voorzitter Aleid Wolfsen. Ik vind het optreden van Wolfsen tot nu toe ronduit wankel en inconsistent. Dat draagt niet bij aan de broodnodige rust. Ik neem u mee aan de hand van een aantal voorbeelden.
In een interview bij Frank.News van afgelopen dinsdag verwart Wolfsen de AVG met onze spamwetgeving. Hoe het zit in twee zinnen? De AVG erkent letterlijk dat het verwerken van persoonsgegevens voor direct marketing beschouwd kan worden als gerechtvaardigd belang. Voor de liefhebber: overweging 47. De spamwetgeving (niet nieuw, al enige tijd in de Telecommunicatiewet opgenomen) verlangt een opt-in voor ongevraagde commerciële mail als je geen bestaande klant bent. Maar wat doet Wolfsen? Die steekt een onduidelijk betoog af over toestemming onder de AVG. Het is hoe dan ook te kort door de bocht.
Dan het verwerkingsregister. Ik had al aangegeven dat hier onduidelijkheid over is. Hoe het zit: verplicht, maar niet als je (i) minder dan 250 werknemers in dienst hebt en (ii) slechts incidenteel persoonsgegevens verwerkt. Wat doet Aleid Wolfsen? Die vertelt in de media dat het enkel verplicht is als je “gevoelige” gegevens verwerkt. Dat is dus pertinent onjuist.
Ook bij evidente inbreuken is het handelen niet daadkrachtig. Ik noem 2 voorbeelden: allereerst toen het nieuws bekend werd dat incassobureaus handelen in het betaalgedrag van consumenten. Het ging om miljoenen records met uw en mijn betaalgedrag. Daar kan je snel en kort over zijn: een flagrante inbreuk. En ontoelaatbaar. Na enige trekken door Petra Grijzen op BNR wilde Wolfsen er dan aan dat het “onrechtmatig” was. Maar op de vraag of de AP er direct tegen zou optreden, kwam eigenlijk geen antwoord. Eerder een excuus dat het zo druk was met onderzoeken tegen Microsoft en Facebook. Ik snap dat niet. Als je staat voor de privacy van alle Nederlanders, dan grijp je prime time in BNR toch aan om te zeggen dat je dergelijke bureaus aanpakt? Hetzelfde laken een pak met het datalek bij Uber: een lek van 57 miljoen gebruikers en 600.000 taxichauffeurs, die Uber ook nog eens een jaar lang opzettelijk had verzwegen. Daar kan je toch met meer stelligheid van aangeven dat dit niet kan?
Recent sprak ik de hoop uit dat de AP als een van de eerste prioriteiten het handelen van WhatsApp inzake hun nieuwe privacyvoorwaarden aanpakt. Hoe WhatsApp toestemming ‘forceert’ kan natuurlijk niet. Als de AP (en haar EU-collegawaakhonden) dit na vandaag niet onmiddellijk oppakken, heb ik dat inmiddels tot het failliet van de toestemming gedoopt. Het goeie nieuws in het interview van Frank.News is wellicht dat Wolfsen aangeeft juist de handel in data te prioriteren. Ik zeg: “Wolfsen: go get WhatsApp!”
U zult mijn oproep begrijpen: “Meneer Wolfsen, u staat voor een van de mooiste uitdagingen en kansen als het om onze privacy gaat. U heeft met de AVG nu ook het geld en de middelen. Wees niet wankel als waakhond. Wees die rots in de branding voor alle Nederlanders als het om privacy gaat. Ik geloof erin dat u het kan! Dank u wel.”
Menno Weij is advocaat bij SOLV