Waarom wordt de AVG zo slecht nageleefd?

0
525

Ik ben maar een eenvoudige burger, ik ben geen politicus, geen politieman, en geen handhaver. Maar als directeur van de brancheorganisatie van hosting en cloudaanbieders valt het me wel heel erg op hoe weinig de Nederlandse bedrijfswereld zich aan lijkt te trekken van de privacywet die vorig jaar ingevoerd is. De AVG.

En dan heb ik het niet over onze sector. De hosting en cloud wereld wist, toen de GDPR in Brussel werd aangenomen, dat wij aan de bak moesten om compliance te realiseren. Wij wisten dat onze industrie heel direct geraakt werst door de wetgeving. Immers, ook een kleine hoster heeft al snel duizenden klanten, die allemaal privacygevoelige data op de servers van de hoster willen opslaan en verwerken.

In eerste instantie brak er lichte paniek uit, maar geleidelijk aan kwam de beweging op gang om compliance in te richten. Wij hebben daar als branchevereniging ook een steentje aan bijgedragen: we hebben met onze juristen nieuwe Algemene Voorwaarden laten maken, verwerkersovereenkomsten ook, we hebben informatie sessies georganiseerd, we hebben een helplijn geopend, ga zo maar door.

Het heeft iedereen veel tijd en geld gekost, maar het moest, het was de wet, en we zijn aan de slag gegaan om te voldoen aan de eisen van de wet. Zoals het hoort.

Daarom is het raar en een beetje frustrerend te zien met welke minachting anderen omgaan met dezelfde wetgeving. Ik heb eigenlijk nog nooit meegemaakt dat een wet zo massaal wordt genegeerd.

Cookiewalls? Ze zijn er nog steeds. Opt-in? Bestaat nauwelijks. Ga naar de grotere Nederlandse sites en je zult zien dat steevast bij default alle marketing en tracking-cookies gewoon aanstaan. Zie hieronder de privacy melding van de grootste nieuwssite van ons land. Mag dit? Nee. Dit is een overtreding van de wet. Het is niet anders als je naar de sites van RTL of de Telegraaf of een willekeurige andere grote site gaat.

Je mag ja zeggen tegen alles of je komt er gewoon niet op.

Wat zegt de wet? Functionele cookies mogen, analytische cookies mogen beperkt, en

“Alle andere cookies mogen alleen als u vooraf toestemming heeft van bezoekers”

en verder

“Geef ze de keus om hiermee in te stemmen of niet. Voordat u toestemming heeft, mag de site alleen functionele en analytische cookies plaatsen die geen gevolgen hebben voor de privacy.
Wat telt niet als toestemming? Bijvoorbeeld een vaag zinnetje in uw algemene voorwaarden of privacy statement, zoals: ‘als u onze website bezoekt, geeft u automatisch toestemming voor de plaatsing van cookies’.

Ik begrijp ook wel dat het niet leuk is, als je businessmodel is gebaseerd op het doorverkopen van bezoekersgegevens, om niet meer alles te mogen opslaan van die bezoekers. Maar dit is wel de wet. De geldt voor ons allemaal. Niet alleen voor bepaalde sectoren. Niet alleen voor kleine bedrijven. En het is niet alsof ze het niet weten hoor. Ze hebben honderden klachten hierover ontvangen die ze vrolijk negeren. Waarom? Omdat het kan. Omdat niemand er iets van zegt.

Hetzelfde geldt voor het doorverkopen van persoonsgebonden gegevens. Nee je mag mijn emailadres niet doorverkopen aan derde partijen. Toch krijg ik zo’n beetje wekelijks een nieuwe nieuwsbrief in mijn inbox waar ik me nooit voor heb aangemeld. Ik weet ook precies welke partij mijn gegevens heeft doorverkocht. Hier ook: niemand spreekt ze er op aan. Waarom zouden ze het verdienmodel aanpassen aan de wet als er geen handhaving plaatsvindt?

Wat zegt de Autoriteit Persoonsgegevens? Nou niet zoveel. Waar de Franse AP (de CNIL) op hun website regelmatige updates geven over handhaving communiceert onze AP heel weinig. Het is niet zichtbaar welke klachten zijn ingediend, en of daar überhaupt naar gekeken wordt. Ze zeggen ook niet waar ze wel mee bezig zijn.

Ik lees op hun website dat het boetebeleid aangepast wordt. Misschien is het een teken dat ze van plan zijn om eindelijk eens wat serieuzer te worden in hun handhaving. Ik hoop het. Want dit lijkt nergens op.

Vragen? Zin om je ook aan te sluiten bij ISPConnect? Stuur me een mailtje simon@ispconnect.nl

Source link

Vorig artikelAftellen tot CloudFest
Volgend artikelTerugblik Software Defined Networks event