Bescherming privacy kan beter

Wie op internet surft, wordt gevolgd. Bekijkt een gebruiker bijvoorbeeld nieuwe schoenen bij een online verkoper, dan zal hij deze schoenen waarschijnlijk binnen de kortste keren ook als advertenties tegenkomen op andere sites. Reden zijn zogenaamde cookies. Dit zijn kleine bestanden die namens bedrijven aantekening houden over het surfgedrag van de gebruikers. De bescherming van de privacy en daarmee ook de bescherming van persoonsgegevens heeft hoge prioriteit. En uiteraard gaat het daarbij om veel meer dan het volgen van iemands surfgedrag. De term 'persoonsgegevens' is immers een zeer breed begrip. Het gaat om alle gegevens die je kan herleiden tot een individu: naam, adres, telefoonnummer, leeftijd, e-mailadres enzovoort. In mei 2018 werd een nieuwe privacywet van kracht: de Algemene Verordening Gegevensbescherming (AVG). Die biedt betere bescherming, maar roept ook vragen op. Want niet alleen bedrijven zijn gebonden aan de AVG, ook vrijwilligersorganisaties en sportclubs.

Nadelen van de automatisering

Al toen de eerste computers op de markt verschenen, werd er capaciteit ingeruimd die ervoor moet zorgen dat persoonlijke gegevens niet zullen worden misbruikt en dat er geen illegale verzamelingen van data zullen ontstaan. Respectabele burgers mochten immers geen nadelen van de voortgaande automatisering ondervinden. Dat was het begin van de jaren 70, lang voordat het internet onderdeel van ons dagelijks leven zou uitmaken.

Voorbeelden van illegale praktijken

Hoe belangrijk het thema privacy is, hebben officiële controles en klachten van burgers in de afgelopen tientallen jaren overduidelijk aangetoond. De lijst van overtredingen tegen gegevensbescherming door bedrijven en overheden is lang:

• wat bijvoorbeeld te denken van een bedrijf dat protocollen van vertrouwelijke personeelsgesprekken in een niet-gecodeerde database vrij toegankelijk had?
• of een nutsbedrijf dat gegevens over digitale betalingen aan een ander bedrijf verder gaf zonder zijn klanten daarover te informeren;
• of een werkgever die zijn werkruimten zonder aanwijsbare redenen met camera's liet monitoren;
• weer een andere werkgever nam contact op met gezondheidsklinieken om uit te vinden om welke reden zijn werknemers ontbraken.

Autoriteit Persoonsgegevens

Veel van de klachten hebben betrekking op gegevensverzamelingen die worden doorverkocht voor reclamedoeleinden zonder dat daarvoor toestemming werd verkregen, zoals is voorgeschreven. In een aantal van deze gevallen kunnen door het Autoriteit Persoonsgegevens boetes worden opgelegd of regelingen worden getroffen om de klachten te verhelpen. Vaak bestaat de oplossing simpelweg uit een eenvoudige aanpassing van de software.

Handel in persoonsgegevens met fatale gevolgen

Welke nadelige gevolgen kunnen ontstaan door de onzorgvuldige behandeling van gegevens, toont onderstaand voorbeeld aan. Een huurder was geruime tijd op zoek naar een geschikt appartement. Toen hij er uiteindelijk een gevonden had, werd hij afgewezen omdat de verhuurder onjuiste informatie over de woningzoekende had binnengehaald bij een informatiebureau. Helaas bevatten veel databases bij dergelijke bureau’s onjuiste informatie, omdat computerprogramma's gegevens verkeerd interpreteren of gegevens verkeerd combineren. In sommige gevallen kunnen ook boetes of administratieve regelingen de geleden schade niet meer goedmaken. Daarom is preventief handelen zo belangrijk om mogelijke schade te voorkomen.

Vooral patiëntgegevens uitermate gevoelig

Uitermate riskant is uiteraard het gebruik van gevoelige gegevens uit de patiëntdossiers. Als informatie over patiënten, artsen en uitgeschreven recepten wordt gekoppeld aan apotheekgegevens, ontstaat zeer bruikbare informatie die verzekeringsmaatschappijen en farmaceutische bedrijven erg zal interesseren. Het is haast angstaanjagend om te constateren welke sterke economische belangen er spelen bij dergelijke gegevensverzamelingen. Zo zou de informatie over één enkele dialysepatiënt volgens kenners meerdere tienduizenden euro’s per jaar waard zijn. Sommigen gaan zelfs zover dat ze ervoor pleiten om de informatie over patiënten, artsen en recepten bij apotheken anoniem te houden, zodat misbruik niet meer mogelijk is.

Overheden staan bekend als notoire “datazondaars”

Maar niet alleen bedrijven maken zich schuldig aan inbreuken op de privacy. Ook overheden bezondigen zich eraan. Hoe vaak hoor je immers niet dat gevoelige informatie bijvoorbeeld bij verhuizing van overheidsdiensten gewoon in de prullenbak belanden?

Verwerken van persoonsgegevens

In de AVG wordt meerdere malen gesproken over bedrijven of andere organisaties die zich bezig houden met het 'verwerken van persoonsgegevens'. Maar alleen al die term kan aanleiding zijn tot verwarring en misverstanden. Want feitelijk is vrijwel elke handeling met persoonsgegevens onder die noemer te vatten:

• wat bijvoorbeeld te denken bij het verspreiden van een lijstje met e-mailadressen;
• of de website van een sportvereniging die een elftalfoto met duidelijk herkenbare personen in beeld brengt;
• of de heemkundevereniging die gedachtenisprentjes van overleden inwoners archiveert.

Doorgaans is voor het verzamelen en/of tonen van persoonsgegevens de toestemming van betrokken nodig. Maar meldt zich bijvoorbeeld iemand aan voor een nieuwsbrief van een websitebouwer, houdt dat niet automatisch in dat hij ook reclamemails wil ontvangen. Kortom, veel vragen en onduidelijkheden nog.