De jaarlijkse Europese Dag van de Privacy (Dataprotectiedag) is in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Gekozen is voor 28 januari, de dag waarop in 1981 het Dataprotectieverdrag werd geopend voor ondertekening. Het doel van deze dag is om Europese burgers beter te informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties.
Even wat off topic context: op 4 februari is het de dag van de frikandel. Daarvan glijden er naar verluidt zo’n 600 miljoen stuks per jaar naar binnen. Een succesvolle snack, maar wel een eigen dag. Doen wij als burgers ook 600 miljoen keer per jaar actief aan bescherming van persoonsgegevens? Ik denk het niet. Is daarom dan voor ons als burgers een Dag van De privacy nodig?
Op 28 januari 1981 werd het Europese Dataprotectieverdrag getekend, dat de basis vormt voor de huidige privacywetgeving. En dat vonden we blijkbaar zo’n mooi moment dat het de “Dag van De Privacy” is geworden. Op 1 september 2001 trad de Wet bescherming persoonsgegevens in werking, als opvolger van de Wet persoonsregistraties (1989). En op 25 mei 2018 werd de AVG van kracht.
Voor mij als privacy professional zijn deze data niet echt mijlpalen waar ik bij stilsta, laat staan dat ik nog weet waar ik was. Iets wat velen zich wel van die beruchte 11 september herinneren.
En 1981 klinkt als heel lang geleden (pap, was er toen al kleurentelevisie?) maar het recht op privacy is al in 1948 (!) opgenomen in de Universele Verklaring van de Rechten van de Mens. En ook daarvóór zijn vele uitspraken geweest over de rechten van de burger, vele eeuwen eerder.
Op 28 januari is het de Dag van de privacy. Doel van de dag is om ‘burgers te informeren over hun rechten’.
Ik ervaar het als het recht om gedurende twee minuten per website cookies en het vage legitiem belang van alle leveranciers weg te klikken voordat ik iets op de website kan zien of opzoeken. Waarom moet dat? En wat heb ik daaraan? Ik wil gewoon veilig kunnen surfen op zoek naar informatie. En ik wil niet dat mijn (surf)gegevens bij tientallen leveranciers terechtkomen.
Wat heb ik dan aan zo’n Dag van de privacy, als het me zoveel moeite kost om mijn rechten uit te oefenen? Past het doel om burgers over hun rechten te informeren nog wel bij de huidige praktijk? Of is een ander doel beter? Persoonlijk denk ik dat het informeren van de burgers misschien wel ondergeschikt is aan het informeren van bedrijven en overheden. Bij mijn research over de dag van de privacy kwam ik op een aantal websites waar ik elke keer bijna twee minuten (!) bezig was om alle cookies uit te zetten en om bij alle leveranciers het ‘legitiem belang’ uit te zetten; daar werd ik echt heel bedroefd van. En behoorlijk geïrriteerd trouwens: wat is het legitiem belang van een buitenlandse softwareleverancier van een deel van de web-omgeving om cookies te plaatsen op mijn NCI-laptop om mijn zakelijke surfgedrag te monitoren? Maar als organisatie die privacy-advies geeft wel een mooi verhaal op de website plaatsen over het belang van de dag van de privacy! Ze zouden zich moeten schamen! Als compliance officer denk ik hier meteen aan hun moreel kompas, of beter gezegd aan het ontbreken daarvan.
We leven in een wereld die steeds sneller en digitaler wordt en waarin de smartphone voor steeds meer toepassingen wordt of zelfs moet worden gebruikt. Een wereld waarin we via social media meer en meer delen en gedeeld krijgen. Dan gaan mensen onder het mom van “ze weten toch alles al van me” heus niet alle cookies en (il)legitieme belangen wegklikken, maar accepteren alles blind. Want anders kun je de info die je zoekt niet vinden of benaderen. Ik hoor om mij heen maar zelden anders dan ‘accepteren’ van alle cookies. Ik doe hiermee aannames zonder gedegen marktonderzoek; dat realiseer ik mij. Zouden we dit met z’n allen ook 600 miljoen keer per jaar doen?
Het recht op privacy is beschreven, het recht van de burger op de bescherming van diens persoonsgegevens. Maar hoe zit het met de plicht op bescherming van persoonsgegevens? We hebben verplichte dataminimalisatie, DPIA’s en verplichte verwerkingsregisters. Maar hoe zit het met cookies? En met de verplichte opt-in i.p.v. opt-out; wat zien we daarvan in de praktijk terug? Worden die plichten wel herkend?
Jazeker, je ziet vaak een keuze voor cookies verschijnen. Maar het blokje ‘accepteren’ is dan wel extra zichtbaar en gekoppeld aan de <enter>; voor het weigeren moet je meer doen. En als je dan naar de leveranciers kijkt vind je heel veel ‘legitiem belang’ wat ik niet kan plaatsen als legitiem. Dat staat haaks op het opt-in principe, maar is wel de praktijk.
Ook het onbevoegd delen van gegevens met derden (ik ga hier geen naming en shaming doen, dus zonder bronverwijzing) staat regelmatig in het nieuws. En dan niet alleen de usual suspects, maar ook bedrijven met een braaf imago! Het is prima dat nationale en internationale toezichthouders dergelijke zaken bewaken en beboeten, maar het zegt in mijn ogen iets over de moraal van bedrijven. Of misschien juist over de pakkans en het toezicht; wie het weet mag het zeggen…
Moeten wij als burgers met onze privacy rechten niet bedrijven, organisaties, overheden en instellingen informeren over hun plichten? Dat zij alleen beschaafde en noodzakelijke cookies als default moeten zetten. Dat zij onze gegevens alleen voor het vereiste doel gebruiken en niet als extra verdienmodel verkopen aan willekeurig wie. De verplichte nummers als een verwerkersovereenkomst en een DPIA geloof ik wel; het gaat erom wat partijen allemaal zichtbaar en onder water met onze gegevens doen. En dat gaat verder dan alleen AVG-gerelateerde checklistjes! In mijn ogen ligt daar een belangrijke taak, belangrijker dan het wijzen van de burgers op hun rechten.
Het doel van de Dag van de privacy is om burgers te informeren over hun rechten. Mooi, maar in mijn ogen misschien niet de eerste en enige focus. Het opvoeden van bedrijven, overheden en organisaties is volgens mij minstens net zo belangrijk. Dat burgers recht hebben op bescherming van hun gegevens moet geen keuze zijn, maar een standaardinstelling (zie o.a. artikel 25 lid 2 AVG over privacy by default).
Dus ik zou het doel van de Dag van de privacy graag uitbreiden naar ‘het informeren van alle betrokkenen op hun rechten en hun plichten rond het verwerken van persoonsgegevens’. Want ik geloof er niet in dat het informeren van burgers over hun rechten voldoende is. Als bedrijven en instellingen zich niet bewuster worden van hun plichten en dat ook daadwerkelijk gaan invoeren wordt het snel “Dag privacy”!
