De Europese privacywet GDPR (in Nederland AVG) wordt dit jaar geëvalueerd. Maar de wet is opgesteld in een tijd dat Internet of Things (IoT), Artificial Intelligence (AI), slimme sensoren of clouddiensten niet of nauwelijks bestonden. De privacywet zal net als eerder te weinig rekening houden met technologische ontwikkelingen. Dit meent juridisch expert Jeroen Terstegge. Hij pleit daarom voor een andere aanpak.
Terstegge geldt als een vooraanstaande deskundige op het gebied van privacywetgeving. Zo is de compagnon van Privacy Management Partners geraadpleegd bij het opstellen van de Algemene Verordening Gegevensbescherming (AVG). „De kern is dat de AVG een uitzondering maakt voor particulieren. Terwijl die steeds meer zelf gegevens naar online diensten sturen.”
Hij vindt daarom de wet niet logisch. „De geschiedenis van de privacywetgeving begon met de digitalisering van organisaties. Met processen als de personeels- en klantenadministratie dienen de data een bedrijfsdoel. Maar we zijn als consumenten ons eigen leven aan het digitaliseren. Met bijvoorbeeld clouddiensten voor foto’s of muziek. We bepalen zelf welke data we verwerken, niet de bedrijven waar we de gegevens naartoe sturen. En daar zit het probleem. Als ik wat met jouw gegevens en Facebook doe, dan geldt de AVG wel voor Facebook, maar niet voor mij.”
Dataminimalisatie
De AVG vereist onder meer dat bedrijven aan dataminimalisatie doen, betoogt Terstegge. Bedrijven, overheden en andere organisaties mogen niet meer gegevens over ons verzamelen dan nodig is. Terwijl de huidige Vierde Industriële Revolutie alleen maar meer data genereert.
Terstegge: “Het feit dat de AVG niet geldt voor privéactiviteiten, betekent dat bedrijven dataminimalisatie niet kunnen waarmaken. Veel van die online diensten zijn gratis. En dus gaan die bedrijven op zoek naar mogelijkheden om de berg aan data berg te gelde te maken. Dat leidt vervolgens tot profiling en handel in jouw gegevens. Dit wordt ook wel Surveillance Kapitalisme genoemd. Daarmee vervaagt ook de grens tussen het privé- en het publieke domein. Als je zoekt op internet naar een ziekte dan deel je jouw geheim met de zoekmachine en is dat niet langer privé. Jouw geheim wordt opgeslagen, geanalyseerd, verpakt in een profiel en verkocht.”
De oplossing door toestemming te vragen met het bekende vinkje ‘gaat u akkoord …?’ stemt de jurist niet tevreden. Want hoeveel mensen gaan echt al die voorwaarden lezen? En begrijpen ze de risico’s die ze lopen?
Innovatieve bedrijven willen duidelijkheid
Innovatieve bedrijven kunnen niet uit de voeten met de vage bepalingen uit de AVG. Terstegge: „Kunstmatige intelligentie, AI, gaat steeds meer ingrijpen in ons leven. Of het nou gaat om zelfrijdende auto’s, het huren of beoordelen van personeel of slimme gezichtsherkenning voor dieven. De AVG verbiedt dat computers zonder menselijke tussenkomst beslissingen nemen waar wij last van hebben.”
„De wetgever mag uitzonderingen maken op dit verbod. Mits daarin passende waarborgen staan voor onze privacy. Maar het probleem is dat die wetgeving (nog) niet bestaat. Bedrijven die investeren in nieuwe digitale oplossingen, zoals kunstmatige intelligentie, hebben behoefte aan duidelijkheid over het speelveld van de AVG.”
„Nu is het een beetje als voetballen in de mist: je hebt geen idee waar de lijnen liggen. De AVG gaat als ‘omnibuswet’ die lijnen nooit duidelijk maken. Die onzekerheid over wat wel en niet mag van de AVG werkt bij sommige bedrijven verlammend. Bij anderen juist tot onverschilligheid. In het beste geval werkt het vertragend.”
Per sector regels
Om wat te doen aan de alomtegenwoordigheid en het gedateerd zijn van de AVG denkt Terstegge dat die wet een minder vooraanstaande rol moet spelen. Hij vindt het slimmer en meer aansluiten op de werkelijkheid om per sector of onderwerp regels op te stellen over wat wel of niet mag met persoonsgegevens.
Hij noemt een recent van de door de Autoriteit Persoonsgegevens (AP) verboden alcoholtest op de werkvloer. De AP kwam tot die conclusie op grond van het verbod op verwerking van gezondheidsgegevens in de AVG. Maar de vraag of een werkgever een werknemer kan verplichten zo’n test te ondergaan is geen vraag van de AVG, maar van arbeidsrecht. Als de alcoholtest mag van het arbeidsrecht, dan moet de verwerking van de daaruit voortvloeiende persoonsgegevens van de AVG ook mogen. Wel kan de AVG aanvullende voorwaarden stellen, zoals beveiliging of het recht op inzage in het dossier. [Overigens maakte het kabinet onlangs bekend te werken aan een wettelijke regeling die zo’n test wel mogelijk maakt, red]
AVG – privacywet van Alles
Terstegge: “De AVG is langzaam bezig de Wet van Alles te worden, want alles wat we doen in het dagelijks leven leidt tot de vastlegging van persoonsgegevens. Dat is een slechte ontwikkeling, omdat de AVG zo nooit bedoeld is. Bovendien overvraag je de toezichthouder. Hoe wij onze digitale samenleving willen inrichten, wat daarin wel en wat niet mag, is de taak van de wetgever. Mogen ‘slimme steden’ onze telefoon volgen op straat? Staan we bewakingscamera’s met gezichtsherkenning toe die misdagers opsporen? Willen we dat onze medische gegevens zonder onze toestemming in een algoritme worden ingevoerd voor medisch onderzoek?”
„Allemaal vragen waar de wetgever zich over moet buigen en waar nodig concrete regels moet maken. De AP vult dit alleen aan door die regels toe te passen in concrete situaties. Veel te vaak zie ik dat politici zich bij digitale vraagstukken verschuilen achter de AVG en de toezichthouder.”