• U moet ingelogd zijn om onderwerpen te kunnen volgen.

    Log-in als u al een account heeft of maak een gratis account aan.

Privacy company: EU helpt datadiscussie vooruit

Vanaf 25 mei is de Algemene Verordening Gegevensbescherming van toepassing. Dat is voor bedrijven een belangrijke kans om privacy centraal te zetten in hun organisatie.

Door Iris Huis in ’t Veld en Arnold Roosendaal  van Privacy Company, een adviesbureau dat bedrijven en overheden helpt te voldoen aan privacyregels.

 Leestijd 3 minuten | Lees meer artikelen uit de serie Beschaafde Bits

De Europese Unie heeft ons een belangrijk hulpmiddel gegeven om de digitale samenleving te realiseren die we wensen: de Algemene Verordening Gegevensbescherming (AVG). De vorige privacyrichtlijn stamt nog uit 1995. In een samenleving waarin meer data beschikbaar is dan ooit, is die niet meer voldoende om ons recht op privacy te beschermen. De AVG is vanaf 25 mei van toepassing.

Wat houdt de AVG in?

Met de AVG krijgen we te maken met drie grote veranderingen:

  1. privacytoezichthouders krijgen de bevoegdheid om stevige boetes op te leggen;
  2. organisaties krijgen meer verplichtingen bij het verwerken van persoonsgegevens; en
  3. de rechten van burgers en klanten worden versterkt en uitgebreid.


Illustraties door Max Kisman.

Wat zijn de bezwaren tegen de AVG?

Wetgeving is slechts één manier om de samenleving vorm te geven; ook bottom-up initiatieven kunnen hieraan bijdragen. Daarnaast wordt privacywetgeving vaak ervaren als tijdrovend en bangmakend. En het klopt: het zal bedrijven tijd kosten om te werken volgens de AVG, die meer dan 200 pagina’s telt. Ook is een boete die kan oplopen tot 20 miljoen euro niet mals.

De AVG als kapstok voor ethische discussies

Toch verdient deze frisse Europese wetgeving meer lof. De AVG heeft nu al de ethische discussies over privacy naar een hoger niveau gebracht. Wij merken dat de AVG in organisaties een kapstok is geworden voor een goed gesprek over data. Zij vragen zich vaker af wie hun klanten zijn, wat die verwachten en hoe zij op die verwachtingen kunnen inspelen met hun producten en diensten.

Dit is verleden tijd: ‘Computer says no’

De AVG verbreedt de rechten van burgers en klanten. Zo is het bijvoorbeeld mogelijk dat iemand die significante nadelen ondervindt van geautomatiseerde besluitvorming voortaan bezwaar kan maken tegen dit besluit. ‘Computer says no’ is dus geen geaccepteerde uitkomst meer.

Hierdoor moeten organisaties bij het toepassen van kunstmatige intelligentie transparanter zijn: ze moeten duidelijk kunnen uitleggen hoe het algoritme werkt en hoe een besluit tot stand komt. Ook moeten er procedures komen om het besluitvormingsproces te kunnen herhalen zonder het algoritme en mét tussenkomst van een persoon. Als een overheidsinstelling dus een uitkering weigert op basis van een algoritme, zal de burger die instelling voortaan kunnen dwingen zonder dat algoritme tot een oordeel te komen.

Hou je vast voor de gegevensbeschermingseffectbeoordeling

Wanneer een organisatie begint met een nieuwe verwerking van persoonsgegevens, dan wordt het in sommige gevallen verplicht om een, hou je vast, ‘gegevensbeschermingseffectbeoordeling’ uit te voeren. Bijvoorbeeld wanneer er strafrechtelijke gegevens verwerkt gaan worden of wanneer openbare ruimtes worden gemonitord. Zo’n beoordeling is een uiteenzetting van risico’s en een overzicht van maatregelen om die risico’s te verkleinen.

Deze risicobeoordeling is op zich al heel waardevol. Er komt nog eens bij dat we in de praktijk zien dat – naast de noodzakelijke juridische risico’s – ook ethische standpunten en maatschappelijke risico’s worden meegenomen.

‘Privacy by design’ wordt de standaard

De AVG verandert dus niet alleen procedures, maar juist ook de mindset van organisaties. Die doen steeds meer aan privacy by design: ze ontwerpen producten en diensten voortaan op zo’n manier dat ze privacyproblemen voor zijn. Zo kunnen ze gegevensverzameling van het begin af aan minimaliseren, kiezen voor het anonimiseren of ‘pseudonimiseren’ van data en investeren in informatiebeveiliging, bijvoorbeeld in de vorm van encryptie.

Privacy by design kan uitgroeien tot een brede ontwerpfilosofie, waarbij programmeurs leren nadenken over ethische kaders, en publieke waarden ontwerpkeuzes sturen.

De markt werkt ook mee

Dat leidt niet alleen tot maatschappelijk verantwoord ondernemen. Producten en diensten die aansluiten bij publieke waarden zorgen ervoor dat de markt aantrekt. Burgers staan steeds meer op hun strepen, en kiezen steeds vaker voor privacy-vriendelijke producten en diensten. Zo zijn chat-apps als Signal, die gebruik maken van end-to-end encryptie, in opkomst en kiezen we steeds vaker voor alternatieven voor de Google zoekmachine. Letten op publieke waarden geeft bedrijven dus ook een competitief voordeel.

Alle reden om met de komst van de AVG die kansen te pakken. De succesvolle organisatie van de 21ste eeuw is een organisatie die maatschappelijke belangen en publieke waarden hoog op de agenda heeft staan.