Het beschermen van persoonsgegevens is ontzettend belangrijk. Bij VKA zetten we ons daar elke dag voor in. En elke dag proberen we geduldig en duidelijk uit te leggen waarom privacy belangrijk is, want het is niet altijd gemakkelijk om aan privacy wetgeving te voldoen. Nu hoeft niet alles makkelijk te zijn, maar het moet wel uitlegbaar zijn.
Maar sommige dingen zijn ook voor mij niet uitlegbaar. Ik noem er een paar.
Wettelijk verplicht openbaar maken van persoonsgegevens
Als organisatie moet je van alles doen om te zorgen dat persoonsgegevens niet zomaar toegankelijk zijn voor iedereen. Tegelijkertijd biedt de overheid databronnen aan, waarvan iedereen gebruik kan maken, zoals gegevens van Kadaster en Kamer van Koophandel. In deze bronnen is het op tal van manieren mogelijk om gegevens (al dan niet betaald) in te zien. Daarmee doen Kadaster en KvK niet per se iets wat ze niet mogen, want zij hebben de plicht om deze gegevens inzichtelijk te maken. Tegelijkertijd moeten alle andere organisaties conform de AVG tal van maatregelen nemen om deze zelfde gegevens te beschermen of uberhaupt al te mogen verwerken. Hier draaien we al jarenlang omheen … Hallo overheid? Waar zijn wij mee bezig?
De zinloosheid van de Wpg audit
Buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wet politiegegevens (Wpg). In de Wpg is opgenomen dat de werkgever van deze BOA’s zich met ingang van 2021 moet houden aan een auditplicht. Een externe auditor moet dan vaststellen of de werkgever zich houdt aan 31 normen. Op zichzelf een goede zaak, alhoewel het wel enigszins verbazend is, dat er voor de Wpg wel een auditplicht is, maar voor de AVG niet. Maar dat terzijde. Zo’n 1100 organisaties worden door deze wet geraakt, waarvan een groot deel zich hier helemaal niet van bewust was. Kortom … niemand was voorbereid. Een maand voor de deadline voor aanlevering van de auditrapportage heeft de AP besloten de verplichting een jaar op te schorten. Daarmee probleem opgelost, maar is de Wpg audit dan uitlegbaar? Wat mij betreft niet. Waarom? De meeste organisaties doen jaarlijks maar een handvol opsporingsonderzoeken. Natuurlijk gaat het over de verwerking van gegevens die gevoelig zijn (‘strafrechtelijke gegevens’), maar bij tal van die 1100 organisaties gaat het over maximaal enkele tientallen onderzoeken, waarvan een deel ook eenvoudigweg leidt tot bekeuringen die via het CJIB worden afgetikt. De last van de Wpg audit weegt dan wat mij betreft lang niet altijd op tegen de baten.
Crappy cookie consent bots
watteh? Dat zijn die dingen die zijn bedoeld om jou als gebruiker aan te laten geven welke cookies je wel-en-niet wilt gebruiken. Zo’n ding op de website heet een ‘consent bot’. Het merendeel van deze krengen is niet ontworpen om consumenten zoals jij en ik te bewegen om minder cookies te accepteren. Wat zie je regelmatig gebeuren:
– De interface is qua kleur zodanig ontworpen (felle kleuren, duidelijke letters) dat je voor de ‘alles accepteren’ knop gaat en niet voor de ‘zelf configureren’ knop.
– Default staan alle cookies aan en per functie (of soms zelfs per partner met wie wordt gedeeld!) moet je dit uitzetten.
– En mijn persoonlijke allergie nummer 1: als je beperkte settings kiest voor cookies moet je die elke dag of bij elk bezoek bevestigen en als je alles accepteert zie je de consent bot je hele leven niet meer terug.
Zomaar drie dingen die ik niet snap en dus niet kan uitleggen. Ken jij nog meer van deze voorbeelden? Deel ze in de comments van dit LinkedIn bericht: link.