Fotostress door privacywet: ‘doe even normaal’

Sindsdien moeten organisaties, bedrijven en overheden veel strikter met persoonsgegevens omgaan. ,,Je moet expliciet toestemming hebben van de ouders om foto’s te maken en te publiceren’’, zegt een juf. Is die toestemming er niet, dan mag de kroost ook niet op de foto.

In de Haagse gymzaal krijgen de kinderen voor het gemak gekleurde lintjes om: iedereen met lintje mag op de plaat, zonder lintje – ‘een handvol kinderen’- niet. Hun ouders hebben geen toestemming gegeven of zijn vergeten het formulier in te leveren. ,,Het is een heel gedoe. En de kinderen zelf snappen het natuurlijk ook niet altijd, dus een leerling werd  boos toen hij niet op de foto mocht.”

Ruim vier maanden na de nieuwe wet (voluit Algemene verordening gegevensbescherming, AVG) lijkt de grootste privacystress voorbij. Rond de invoer van de wet was het alarmfase één voor veel bedrijven, verenigingen en instellingen. Ze moesten in allerijl gegevensbeheerders aanstellen, toestemming vragen en nieuwe voorwaarden voorleggen aan hun klanten. De privacykwesties waren legio: mogen er nog wel foto’s gepubliceerd worden van geslaagden? Kunnen ze in de kerk nog bidden voor een zieke kerkganger? Is het nog toegestaan om zomaar een wedstrijdfoto van de derdeklasser zaterdag-amateurs op de website te plaatsen?

Het antwoord op veel van die vragen is ja, mìts er toestemming is van betrokkenen.

In de Grote Kerk in Gorinchem bidden ze nog altijd voor zieke gemeenteleden, zegt koster Kees Struik. ,,We vragen wel of mensen het willen, niet iedereen vindt het fijn als bekend wordt dat hij of zij in het ziekenhuis ligt. En, zo zei een voorganger van een kerk in Almere tegen de EO: ,,God kent ons zo door en door dat Hij onze naam en adresgegevens toch al heeft.’’

Privacy-deskundige en hoogleraar Recht en Informatiemaatschappij Gerrit-Jan Zwenne (Universiteit Leiden) merkt dat bedrijven, organisaties en hun klanten inmiddels aardig gewend zijn aan de nieuwe regels: ,,Er zijn veel adviseurs die er een goed gevulde portemonnee aan overgehouden hebben. Ik geef zelf ook advies, maar sommige consultants kwamen aanzetten met heel grote excelsheets met wel erg veel actiepunten, die volgens mij niet altijd nodig waren.’’

Er is nog wel verwarring over de kleine lettertjes: ,,Je hebt het recht om te weten wat een bedrijf of instelling over jou op heeft vastgelegd, maar dat recht is niet absoluut. Zo zal een werknemer die van fraude verdacht wordt bijvoorbeeld niet meteen inzage krijgen in dat dossier zolang de werkgever daarnaar nog onderzoek doet.”

Zwenne is vooral benieuwd wanneer de toezichthouder AP boetes gaat opleggen, bijvoorbeeld bij een groot datalek. ,,In mijn colleges noem ik wel eens het datalek bij Uber in 2016, waarbij een hacker de gegevens van zo’n 50 miljoen gebruikers wist te bemachtigen. In die zaak lijkt er veel te laat een melding te zijn gedaan.”

Na de AVG-koorts kijken kleine en middelgrote bedrijven ondertussen met argusogen naar Brussel, waar een nieuwe regel in de maak is onder de noemer ePrivacy. Veel digitale communicatie moet nog beter beschermd worden, met scherpere richtlijnen voor digitale marketing en cookies en via specifieke toestemming voor de verwerking van persoonsgegevens en pseudo-anonieme data. Dat leidt weer tot een hoop extra geregel en gedoe, is de vrees.

Dinsdag stemt het parlement over een motie van VVD-Tweede Kamerlid Martin Wörsdörfer die het kabinet vraagt deze nieuwe Brusselse regels eerst maar eens goed onder de loep te nemen voordat ze akkoord gaat. ,,We hebben net die AVG goed en wel ingevoerd en nu komt dit er weer aan. Kijk: voor grote bedrijven is dat allemaal goed te regelen, die zetten er een club topjuristen op en ze zijn klaar. Maar voor de kleine ondernemers is het een bult werk.’’