Gaat de AVG brengen waarvoor het bedoeld is?

Nog even en de nieuwe AVG wet gaat in werking. Op 25 mei wordt er actief gehandhaafd op een wet, die ons als burgers van Europa meer inzage en inspraak moet geven over het gebruik van onze persoonlijke gegevens. Organisaties moeten duidelijk maken waarom zij onze gegevens opslaan, wat ze er mee gaan doen en hoe zij ervoor zorgen dat het ook veilig gebeurd. Wij geven actief de toestemming en als we willen kunnen we onze gegevens altijd wijzigen en verwijderen. Het klinkt alsof we de beschikking over onze ‘digitale ik’ weer terug krijgen. Veel burgers zijn hier blij mee, maar is dat ook wel terecht?

Ja, we moeten als bezoeker van een site nu nog meer toestemming geven over de cookies die worden gebruikt. Dus niet alleen maar ‘ok’, maar ook aanvinken welke cookies we willen accepteren. Maar begrijpen wij als burger ook waar het over gaat? En begrijpen wij ook wat het betekent als we hiermee akkoord gaan? Of nog belangrijker, begrijpen wij ook wat het effect is als we er niet mee akkoord gaan? Ik heb hierover sterke twijfels. Volgens mij vinkt iedereen alle vinkjes aan en klikt op ok, in een handeling die nog geen 2 seconden mag duren.

Een interview met Lokke Moerel (lid van de Cyber Security Raad van de Nederlandse overheid) in het Financieele Dagblad gisteren, gaf voor mij de doorslag. Ook zij geeft aan kritisch te zijn op de AVG wet zoals deze 25 mei in werking gaat. “Alle wetgevers hebben gezegd dat het toestemmingsvereiste voor cookies niet werkt. En wat gebeurt er vervolgens? Er moet onder de nieuwe Europese verordening nog meer informatie worden verstrekt en er moeten nog meer toestemmingen worden gevraagd. Gedragswetenschappers stellen dat mensen juist hun autonomie verliezen als ze teveel keuzes krijgen voorgelegd.” Kortom, de huidige wet maakt het voor ons als burgers juist lastiger om de beschikking te houden over onze eigen “digitale ik”.

De AVG zorgt er in ieder geval voor dat organisaties druk doende zijn om allerlei aanpassingen te verrichten aan hun dienstverlening. De site moet worden aangepast (cookie meldingen), instellingen van externe systemen moeten worden nagekeken, overeenkomsten moeten worden gesloten met partijen die data verwerken in opdracht van de organisatie etc. Een juridisch spel dat al enkele maanden bezig is en de afgelopen weken (en misschien ook nog wel de komende weken) tot een hoogtepunt lijkt te komen. Veel kosten, veel angst… want stel je voor dat het misgaat. Er wordt door de overheid ook geschermd met boetes van tonnen of 4% van je jaarlijkse omzet als je echt heel groot bent. Geen organisatie die dit zomaar wil laten gebeuren. En dus is het een circus waar je als organisatie verplicht bent aan mee te doen. Maar met welk doel?

Natuurlijk zijn ook wij als bedrijf bezig met de invoering van de AVG en houden wij ons aan de wet. Maar als ik in gesprek ben met klanten over de AVG, begin ik vaak met de opmerking dat de kans dat we gehackt worden niet opeens groter is. We zijn bezig om met elkaar afspraken te maken over het risico dat al jaren bestaat, maar waarvan de overheid nu ineens vindt dat de burger er tegen beschermd moet worden.

Als ik dan de opmerkingen lees van Lokke vraag ik mij werkelijk af of de burger meer wordt beschermd. Wij gaan straks als bezoeker van een site akkoord met een lange lijst van meldingen, omdat we ‘gewoon’ iets willen kopen in de shop. Of gaan we nu opeens wel alles doorlezen? Het feit dat (bijna) iedereen met een smartphone klakkeloos akkoord gaat met de voorwaarden, waardoor zij op ieder moment van de dag te volgen zijn via GPS, maar hier (vaak) geen weet van hebben, zegt mij genoeg (telkens als ik dit voorbeeld noem in een presentatie, schrikt het publiek).

Wat is er dan wel nodig?

Ik denk dat het begint met het feit dat de kennis over onze ‘digitale ik’ ontbreekt. Ja, we begrijpen inmiddels wel dat het niet handig is om allerlei foto’s en teksten op onze social media te zetten. Want stel je voor dat je een baan zoekt. En wat erg dat op basis van je posts, advertenties worden getoond die je politieke voorkeur zouden beinvloeden. Maar als je het mij vraagt is dit slechts een topje van de ijsberg. Want dat we dagelijks gevolgd worden via onze smartphone of dat ons klik- en koopgedrag op sites leidt tot profilering (ofwel, we weten wie je bent en passen ons aanbod daarop aan), staan we niet (altijd) bij stil. Een artikel in de NRC gisteren over de experimenten die de overheid uitvoert over de inzet van data bij profilering, geeft ook te denken. Voor mij als burger voelt het als zaken waar ik geen enkele invloed kan uitoefenen en dus als een ‘ver van mijn bed show’.

Maar als je kijkt waar werkelijk de invloed van data gaat werken, is het niet die posting op Facebook… maar juist het spoor van data dat je achterlaat en waar je niet bij stilstaat. En zolang de AVG ervoor zorgt dat ik (nog) meer toestemmingen moet gaan geven voor zaken die ik niet begrijp, vraag ik mij af of dat bijdraagt aan mijn beschikking over de ‘digitale ik’. Immers, het zijn volgens mij niet de hacks die in de toekomst zorgen voor vragen…. het zijn de toepassingen die we nu nog niet zien, maar die straks naar buiten gaan komen. En het is vreemd dat de AVG er dan juist aan bijdraagt, dat ik er ook nog eens expliciet toestemming voor heb gegeven, terwijl ik niet heb begrepen waarvoor ik die toestemming geef. Was dit het doel van de wet?

En natuurlijk, je kunt je gegevens inzien, wijzigen en verwijderen. Maar hoeveel mensen dit daadwerkelijk gaan doen vraag ik mij af. Daarbij, als je straks merkt dat je in een bepaalde profilering terecht bent gekomen…. zoek dan nog maar eens uit welke bron je moet aanspreken. Dus fijn dat ik dankzij de AVG meer kan doen, maar wat helpt het als ik niet weet waar ik moet beginnen?

Ook de rol van de overheid in deze ontwikkeling wordt nog spannend. Want mogen wij ook de overheid vragen om onze data bij overheidsinstellingen in te zien, te wijzigen en te verwijderen? Of zijn er databases die toch een uitzondering vormen? Spannende tijden vanaf 25 mei als je het mij vraagt en ik ben benieuwd hoe snel de eerste boete wordt uitgedeeld….