AVG - Hoe zinvol is dat

---

AVG - de theorie

AVG staat voor Algemene verordening gegevensbescherming (General Data Protection Regulation - GDPR). Deze verordening treedt 25 mei 2018 in werking.

Op dit moment hebben we de Wbp, de Wet bescherming persoonsgegevens. Dit is echter een Nederlandse aangelegenheid, de AVG is een Europese maatregel. Vanaf 25 mei 2018 geldt binnen de gehele Europese Unie dezelfde privacywetgeving. Alle nationale privacywetgeving komt dan te vervallen.

Wat houdt het in?

Voor bedrijven

Bedrijven moeten aan de slag. Eigenlijk moest dat 2 jaar geleden al, maar het lijkt erop dat de meeste het hebben uitgesteld tot nu. Er dient een Functionaris gegevensverwerking te worden aangesteld, er moet worden bekeken wat er precies wordt vastgelegd en waarom. Daarnaast is hoe het wordt vastgelegd ook nog wel punt van aandacht. Er moet beleid worden gemaakt over het op een veilige, gestructureerde, transparante manier beheren en verwerken van gegevens.

Voor jou en mij

Voor het verwerken van je gegeven moet je toestemming geven. Men mag je gegevens niet gebruiken voor een verwerking waar jij geen toestemming voor hebt gegeven. Je moet de gegevens kunnen inzien, wijzigen, laten verwijderen. De gegevens moeten kunnen worden overgezet naar een andere verwerker. Je moet op een duidelijke manier op de hoogte worden gesteld over de manier waarop je gegevens worden gebruikt.

Goed Plan

Tot dusver lijkt het een goed plan. We willen immers niet dat onze gegevens, zonder onze toestemming, voor andere doeleinden worden gebruikt dan waarvoor we ze hebben verstrekt. De vraag is of deze wet dat gaat voorkomen.

Cookie wet

Weet je het nog? Jaren geleden, hoop commotie over het gebruik van cookies op websites. Schandalig, hoe zit het met je privacy, dat kunnen ze toch niet zo maar doen, zonder toestemming?

Er moest iets worden gedaan. De cookie wet werd ingevoerd. Deze wet heeft het gebruik van cookies niet verminderd. Het verschil met voor en na de invoering van de wet is dat je nu overal wordt lastig gevallen met 'cookie - ja ik ga akkoord' berichten. Sommige berichten geven geen extra informatie anderen leggen uitgebreid uit waarom cookies worden gebruikt.

Het punt is, we doen er niets mee. Ik denk dat jij net als ik, zonder verder te lezen, gewoon op 'OK' klikt. Vaak moet je ook wel want anders krijg je de website niet te zien.

Conclusie cookie wet

De cookiewet heeft alleen maar voor onrust, extra werk en extra kosten gezorgd voor een ieder met een website. Ons surfgedrag is er niet door veranderd, en het cookie gebruik ook niet.

Terug naar AVG

Naar mijn mening gaan we met AVG een zelfde ontwikkeling zien. De onrust is er al. Op webdesign lijsten en fora wordt druk gediscussieerd over wat moet, wat mag. Hoe verantwoordelijk ben je als webdesigner wanneer je dit voor je klant uitvoert? Een foutje is immers zo gemaakt.

De enige reden waarom men zich hier drukker om maakt dan om het naleven van de cookiewet, is de boete die in het vooruitzicht is gesteld. Deze is enorm.

Het website landschap verandert, de cookie tekst wordt uitgebreid met een privacy beleid tekst. Een privacy beleid pagina wordt toegevoegd aan het menu (en of footer), het webformulier wordt aangevuld met een checkbox voor akkoord met privacy beleid.

Het resultaat zal zijn dat we de uitgebreide cookie tekst ongelezen wegklikken, op het webformulier de checkbox aanklikken omdat anders het formulier niet wordt verzonden, en dat de privacy beleid pagina de slechts bezochte pagina van de website blijkt te zijn.

AVG - de praktijk

Hoe ga je dit controleren? En levert het wel op wat we ervan verwachten? Is het niet een storm in een glas water, waar diverse mensen grof geld aan verdienen.

Scenario 1

Stel ik heb een webshop, geen bol.com activiteit, gewoon een uit de hand gelopen hobby. De gegevens die klanten verstrekken, worden alleen gebruikt voor communicatie met de klant over de voortgang van de bestelling.

Aan het bestelproces nemen echter wel meerdere partijen deel. De iDeal betaling loopt via een PSP, die hebben na bestelling dus ook gegevens van mijn klant. Invloed op wat zij met deze gegevens doen, heb ik niet. Voor verzending bied ik het pakket aan bij een afgiftepunt van een organisatie waarbij ik online al een adressticker heb aangemaakt. Ook zij hebben nu informatie. Als je de lijn nog verder volgt, zou je kunnen zeggen dat de bezorger ook de informatie heeft.

Het feit dat ik als webshop eigenaar je gegevens niet deel, anders dan voor de afwikkeling van je bestelling, wil dus niet zeggen dat je gegevens niet worden gedeeld.

Scenario 2

Zelfde webshop. Een klant wil dat we zijn gegevens uit de database verwijderen. Prima, we hebben geprinte facturen die we aan bv belastingdienst kunnen laten zien, mocht dat nodig zijn. De online gegevens kunnen worden verwijderd.

Om veiligheidsredenen echter maken we regelmatig backups van de website bestanden en de database. Deze backups worden op DVD gebrand. Die backup bevat ook de gegevens van de klant. Hoeveel bedrijven zullen na het verwijderen van jouw gegevens ook hun backups aanpassen?

Scenario 3

De gegevens die een organisatie van je heeft, moeten zondermeer kunnen worden overgezet naar een andere organisatie. Hoe stel je je dat voor? Verlang je werkelijk van elke organisatie dat ze hun software gaan uitbreiden met bv een XML import/export module?

Conclusie AVG

AVG is er niet om deling van je gegevens te voorkomen. Die is er uitsluitend om deling op een georganiseerde wijze toe te staan.

Tegenstrijdige ontwikkelingen

Aan de ene kant willen we de vrijheid onze sporen uit te wissen, aan de andere kant omarmen we de blockchain die het wijzigen of verwijderen van gegevens onmogelijk maakt. Maar dat is misschien iets voor een volgende post.

Tenslotte

Zou AVG anti-virus software nou voordeel of nadeel ondervinden van het gebruik van deze afkorting ?

---

meer AVG informatie

Image Source

---

---