Bedrijven houden meer data van hun klanten bij dan ooit. Maar vanaf 25 mei 2018 krijgen wij in de EU de controle over de gegevens die bedrijven van ons bijhouden, zo staat in een nieuwe verordening. Hoewel de wet voorschrijft dat elke gebruiker overal en altijd zijn gegevens mag opvragen en meenemen, is het nog maar de vraag hoe dat in de praktijk gaat uitpakken.
Het is niet altijd duidelijk welke informatie bedrijven van ons bewaren. Een supermarkt als Albert Heijn wil elke klant persoonlijke aanbiedingen kunnen sturen, gebaseerd op koopgedrag, budget en andere persoonlijke kenmerken: informatie die de supermarkt verwerkt in een profiel van een klant. Die informatie delen ze liever niet. Het is voor hen beter als wij de supermarkt zien als een goede vriend die precies weet wat we lekker vinden, in plaats van een stalker die alles over ons wil weten. Met de nieuwe Algemene Verordening Gegevensbescherming (AVG) komt daar verandering in. Albert Heijn is dan verplicht op verzoek al jouw informatie in hun systemen aan je over te dragen.
Het uitgangspunt van de AVG is dat de verantwoordelijkheid bij de organisatie ligt die de gegevens verzamelt; bedrijven moeten bewijs hebben dat ze toestemming hebben gekregen data van mensen te bewaren. Maar gaat de gemiddelde gebruiker daar iets van merken? Natali Helberger, hoogleraar informatierecht aan de Universiteit van Amsterdam, denkt van wel. “Gebruikers krijgen meer controle over het gebruik van hun persoonlijke data.”
Neem je eigen data mee
Een belangrijke verandering ten opzichte van de huidige Nederlandse privacywetgeving is de zogenoemde dataportabiliteit. In een voorlopige vertaling van de AVG door de Autoriteit Persoonsgegevens wordt dat als volgt uitgelegd:
Dat zou betekenen dat vanaf mei 2018 iedereen met een Bonuskaart bij de Albert Heijn alle gegevens kan opeisen die de supermarkt over hem heeft verzameld. De data hoeven niet direct verwijderd te worden, het bedrijf is alleen verplicht de data aan te bieden op een manier dat het gemakkelijk in andere systemen kan worden geïmporteerd. Albert Heijn loopt voorop als het gaat om data-analyse van klanten. Het bedrijf heeft van elke klant een profiel waarin gegevens van bonuskaart, pinpas, persoonlijke informatie en gebruikersgedrag in de app worden gecombineerd. Moet de supermarkt die zuurverdiende dataprofielen straks zomaar afstaan? “Het is nog onduidelijk hoe dat eruit gaat zien”, zegt Natali Helberger. “De verordening biedt ruimte voor verschillende werkwijzen.”
Het is voor dit soort Europese regelgeving normaal dat pas na invoering duidelijk wordt hoe de wet in de praktijk gaat werken, maar het is al wel duidelijk dat er veel werk aankomt voor bedrijven als Albert Heijn. “Het wordt een enorme uitdaging voor bedrijven om op aanvraag inzicht te geven in al die data”, zegt Helberger. Ze verwacht niet dat bedrijven hun gebruikers van harte zullen uitnodigen hun data op te vragen. “Of dat nodig is, is maar de vraag”, zegt ze. “Ik vind het heel belangrijk dat we het recht hebben op onze eigen data, maar ik vraag mij af of men in de praktijk veel gebruik gaat maken van dat recht.”
Hoge boetes
Het is ondanks een jarenlange stevige lobby van grote bedrijven in Brussel dat er nu toch een verordening is ingevoerd. Vanaf januari zullen ze eraan moeten geloven: bedrijven die na 1 januari aan gebruikers niet hun gegevens verstrekken binnen de gestelde termijn (tot 3 maanden afhankelijk van complexiteit) riskeren torenhoge boetes.
Op dit moment bedragen de boetes die de Nederlandse Autoriteit Persoonsgegevens (AP) mag opleggen maximaal 820 duizend euro. Dat lijkt veel, maar is voor grote bedrijven met een miljardenwinst nauwelijks voelbaar. Vanaf 25 mei 2018 kunnen de boetes van de AP oplopen tot twintig miljoen euro of vier procent van de wereldwijde omzet. In het geval van Albert Heijn kan een boete dus in de tientallen miljoenen lopen – als het overkoepelend concern Ahold wordt gezien als de overtreder is vier procent van de omzet zelfs meer dan een miljard. “Het zijn buitengewoon gevoelige straffen”, zegt Helberger. “Bedrijven zullen die boetes serieus moeten nemen. Ik kan me voorstellen dat er meteen stevig gestraft wordt om bedrijven duidelijk te maken dat het menens is.”
Geen kleine lettertjes meer
Wat we waarschijnlijk als eerste gaan merken van de AVG is betere privacycommunicatie van bedrijven. De verordening verplicht bedrijven om meer te bieden dan lange lappen tekst in kleine lettertjes, die niemand leest voor hij akkoord gaat. Helberger: “De AVG is heel expliciet over het duidelijk formuleren van de privacy policy”, zegt Helberger. “Het is straks aan de bedrijven om te bewijzen dat zij hun gebruikers voldoende hebben geïnformeerd over welke data wordt bewaard, en waarom. Als er kinderen onder de gebruikers zijn is dat nog belangrijker: de privacyvoorwaarden moeten dan voor hen makkelijk te begrijpen zijn.”
Google heeft een voorsprong genomen en biedt gebruikers de mogelijkheid in een dashboard hun data in te zien en te downloaden. Dit lijkt echter vooral te gaan om data ván gebruikers, niet óver hen. Welke mails, bestanden en contacten Google van ons heeft, weten we meestal wel, het gaat in de AVG juist om de data die onzichtbaar van ons bewaard worden. Het profiel dat Google van zijn gebruikers maakt om de juiste advertenties te kunnen laten zien, is bijvoorbeeld niet in het dashboard te vinden. Helberger is gematigd positief. “Het is vast en zeker niet alles wat Google van ons weet, maar het is een goede stap naar meer transparantie.”
Er is nog veel onduidelijk over de situatie na 25 mei 2018. Kunnen we onze data straks gemakkelijk opvragen bij de supermarkt, en welke gevolgen heeft dat? We geven onze privacy immers niet gratis weg: bij de Albert Heijn krijgen we er korting voor terug, bij Google een arsenaal aan gratis diensten. Onze gegevens betalen de rekeningen en het is afwachten wat het ons kost als we die gegevens terughalen. Het belangrijkste is dat we straks in ieder geval de keus hebben.