Fotostress door privacywet: ‘doe even normaal’

De ergste paniek na de nieuwe privacywet lijkt voorbij nu bedrijven en verenigingen gewend raken aan de betere bescherming van persoonsgegevens. Al broedt Brussel op weer een nieuwe regel. ‘Het is een bult werk’.

Gedoe in de gymzaal van een Haagse basisschool. Er worden foto’s gemaakt worden voor de schoolwebsite. Het idee is simpel, maar de uitvoering is ingewikkelder door de nieuwe privacyverordening AVG van eind mei.

Sindsdien moeten organisaties, bedrijven en overheden veel strikter met persoonsgegevens omgaan. ,,Je moet expliciet toestemming hebben van de ouders om foto’s te maken en te publiceren’’, zegt een juf. Is die toestemming er niet, dan mag de kroost ook niet op de foto.

In de Haagse gymzaal krijgen de kinderen voor het gemak gekleurde lintjes om: iedereen met lintje mag op de plaat, zonder lintje – ‘een handvol kinderen’- niet. Hun ouders hebben geen toestemming gegeven of zijn vergeten het formulier in te leveren. ,,Het is een heel gedoe. En de kinderen zelf snappen het natuurlijk ook niet altijd, dus een leerling werd  boos toen hij niet op de foto mocht.”

Ruim vier maanden na de nieuwe wet (voluit Algemene verordening gegevensbescherming, AVG) lijkt de grootste privacystress voorbij. Rond de invoer van de wet was het alarmfase één voor veel bedrijven, verenigingen en instellingen. Ze moesten in allerijl gegevensbeheerders aanstellen, toestemming vragen en nieuwe voorwaarden voorleggen aan hun klanten. De privacykwesties waren legio: mogen er nog wel foto’s gepubliceerd worden van geslaagden? Kunnen ze in de kerk nog bidden voor een zieke kerkganger? Is het nog toegestaan om zomaar een wedstrijdfoto van de derdeklasser zaterdag-amateurs op de website te plaatsen?

Het antwoord op veel van die vragen is ja, mìts er toestemming is van betrokkenen.

Wij zeggen: doe gewoon normaal. Hang in de kantine een flyer op met de mededeling dat mensen het even melden als ze niet op de foto willen

Daan Hogendijk, Stichting AVG

,,Veruit de meeste kwesties gaan over het plaatsen van foto’s’’, zegt Daan Hogendijk van de Stichting AVG. Hogendijk hielp de afgelopen maanden meer dan 10.000 (sport)clubs om ‘AVG-proof’ te worden. De regels zijn strikt, met als ultieme straf een miljoenenboete van toezichthouder Autoriteit Persoonsgegevens (AP). Maar Hogendijk waarschuwt voor al te veel voorzichtigheid.

Zoals die voetbalclub die netjes toestemming aan al zijn leden had gevraagd, maar toch vreesde voor represailles omdat op wedstrijdfoto’s ook tegenstanders te zien zijn. En hen hadden ze niks gevraagd: ,,Wij zeggen: doe gewoon normaal. Hang in de kantine een flyer op met de mededeling dat mensen het even melden als ze niet op de foto willen.’’

In de Grote Kerk in Gorinchem bidden ze nog altijd voor zieke gemeenteleden, zegt koster Kees Struik. ,,We vragen wel of mensen het willen, niet iedereen vindt het fijn als bekend wordt dat hij of zij in het ziekenhuis ligt. En, zo zei een voorganger van een kerk in Almere tegen de EO: ,,God kent ons zo door en door dat Hij onze naam en adresgegevens toch al heeft.’’

Privacy-deskundige en hoogleraar Recht en Informatiemaatschappij Gerrit-Jan Zwenne (Universiteit Leiden) merkt dat bedrijven, organisaties en hun klanten inmiddels aardig gewend zijn aan de nieuwe regels: ,,Er zijn veel adviseurs die er een goed gevulde portemonnee aan overgehouden hebben. Ik geef zelf ook advies, maar sommige consultants kwamen aanzetten met heel grote excelsheets met wel erg veel actiepunten, die volgens mij niet altijd nodig waren.’’

Er is nog wel verwarring over de kleine lettertjes: ,,Je hebt het recht om te weten wat een bedrijf of instelling over jou op heeft vastgelegd, maar dat recht is niet absoluut. Zo zal een werknemer die van fraude verdacht wordt bijvoorbeeld niet meteen inzage krijgen in dat dossier zolang de werkgever daarnaar nog onderzoek doet.”

Er zijn veel adviseurs die er een goed gevulde portemon­nee aan overgehou­den hebben

Gerrit-Jan Zwenne , Hoogleraar Recht en Informatiemaatschappij (Universiteit Leiden)

Zwenne is vooral benieuwd wanneer de toezichthouder AP boetes gaat opleggen, bijvoorbeeld bij een groot datalek. ,,In mijn colleges noem ik wel eens het datalek bij Uber in 2016, waarbij een hacker de gegevens van zo’n 50 miljoen gebruikers wist te bemachtigen. In die zaak lijkt er veel te laat een melding te zijn gedaan.”

Na de AVG-koorts kijken kleine en middelgrote bedrijven ondertussen met argusogen naar Brussel, waar een nieuwe regel in de maak is onder de noemer ePrivacy. Veel digitale communicatie moet nog beter beschermd worden, met scherpere richtlijnen voor digitale marketing en cookies en via specifieke toestemming voor de verwerking van persoonsgegevens en pseudo-anonieme data. Dat leidt weer tot een hoop extra geregel en gedoe, is de vrees.

Dinsdag stemt het parlement over een motie van VVD-Tweede Kamerlid Martin Wörsdörfer die het kabinet vraagt deze nieuwe Brusselse regels eerst maar eens goed onder de loep te nemen voordat ze akkoord gaat. ,,We hebben net die AVG goed en wel ingevoerd en nu komt dit er weer aan. Kijk: voor grote bedrijven is dat allemaal goed te regelen, die zetten er een club topjuristen op en ze zijn klaar. Maar voor de kleine ondernemers is het een bult werk.’’

13.000 datalekken
Bij de privacywaakhond Autoriteit Persoonsgegevens (AP) is het sinds eind mei alle hens aan dek. De toezichthouder controleert of de nieuwe privacyregels worden nageleefd. Tot medio vorige maand waren er 3200 (wekelijks ruim 250) privacyklachten en –tips binnengekomen na invoering van de AVG, onder meer van mensen die het niet voor elkaar krijgen om hun persoonsgegevens te laten wissen of die inzage willen in hun eigen gegevens. Deze meldingen worden allemaal bekeken. ,,We zien dat het bewustzijn rond privacy toeneemt’’, zegt een woordvoerder.
De autoriteit kan hoge boetes opleggen voor privacyschendingen, maar dat is nog niet gebeurd. Wel is er voor tonnen aan dwangsommen opgelegd, onder meer een van 48.000 euro bij Theodoor Gillissen Bankiers, die weigerde een klant inzage te geven in de persoonsgegevens.
Het aantal gemelde datalekken, streng verplicht sinds de AVG, is fors. Tot dusver zijn er dit jaar er maar liefst 13.000 datalekken gemeld, groot en klein. Zo ging er iets mis bij Ageon, waardoor bijna 70 klanten een hypotheekoverzicht van een ander in de bus kregen. Maar ook de gemeente die per abuis BSN-nummers op enveloppen zet moet dat melden als een datalek. En vorige week meldde Facebook wereldwijd een lek waardoor hackers toegang konden krijgen tot de accounts van 50 miljoen gebruikers. Wie erachter zit, is nog onbekend. Maar wachtwoorden zouden niet in handen van de hackers gevallen zijn, het sociale mediabedrijf heeft het lek gedicht en de Ierse privacywaakhond ingelicht.