Vanaf 25 mei is de Algemene Verordening Gegevensbescherming van toepassing. Dat is voor bedrijven een belangrijke kans om privacy centraal te zetten in hun organisatie.
Door Iris Huis in ’t Veld en Arnold Roosendaal van Privacy Company, een adviesbureau dat bedrijven en overheden helpt te voldoen aan privacyregels.
Leestijd 3 minuten | Lees meer artikelen uit de serie Beschaafde Bits.
De Europese Unie heeft ons een belangrijk hulpmiddel gegeven om de digitale samenleving te realiseren die we wensen: de Algemene Verordening Gegevensbescherming (AVG). De vorige privacyrichtlijn stamt nog uit 1995. In een samenleving waarin meer data beschikbaar is dan ooit, is die niet meer voldoende om ons recht op privacy te beschermen. De AVG is vanaf 25 mei van toepassing.
Wat houdt de AVG in?
Met de AVG krijgen we te maken met drie grote veranderingen:
- privacytoezichthouders krijgen de bevoegdheid om stevige boetes op te leggen;
- organisaties krijgen meer verplichtingen bij het verwerken van persoonsgegevens; en
- de rechten van burgers en klanten worden versterkt en uitgebreid.
Wat zijn de bezwaren tegen de AVG?
Wetgeving is slechts één manier om de samenleving vorm te geven; ook bottom-up initiatieven kunnen hieraan bijdragen. Daarnaast wordt privacywetgeving vaak ervaren als tijdrovend en bangmakend. En het klopt: het zal bedrijven tijd kosten om te werken volgens de AVG, die meer dan 200 pagina’s telt. Ook is een boete die kan oplopen tot 20 miljoen euro niet mals.
De AVG als kapstok voor ethische discussies
Toch verdient deze frisse Europese wetgeving meer lof. De AVG heeft nu al de ethische discussies over privacy naar een hoger niveau gebracht. Wij merken dat de AVG in organisaties een kapstok is geworden voor een goed gesprek over data. Zij vragen zich vaker af wie hun klanten zijn, wat die verwachten en hoe zij op die verwachtingen kunnen inspelen met hun producten en diensten.
Dit is verleden tijd: ‘Computer says no’
De AVG verbreedt de rechten van burgers en klanten. Zo is het bijvoorbeeld mogelijk dat iemand die significante nadelen ondervindt van geautomatiseerde besluitvorming voortaan bezwaar kan maken tegen dit besluit. ‘Computer says no’ is dus geen geaccepteerde uitkomst meer.
Hierdoor moeten organisaties bij het toepassen van kunstmatige intelligentie transparanter zijn: ze moeten duidelijk kunnen uitleggen hoe het algoritme werkt en hoe een besluit tot stand komt. Ook moeten er procedures komen om het besluitvormingsproces te kunnen herhalen zonder het algoritme en mét tussenkomst van een persoon. Als een overheidsinstelling dus een uitkering weigert op basis van een algoritme, zal de burger die instelling voortaan kunnen dwingen zonder dat algoritme tot een oordeel te komen.
Hou je vast voor de gegevensbeschermingseffectbeoordeling
Wanneer een organisatie begint met een nieuwe verwerking van persoonsgegevens, dan wordt het in sommige gevallen verplicht om een, hou je vast, ‘gegevensbeschermingseffectbeoordeling’ uit te voeren. Bijvoorbeeld wanneer er strafrechtelijke gegevens verwerkt gaan worden of wanneer openbare ruimtes worden gemonitord. Zo’n beoordeling is een uiteenzetting van risico’s en een overzicht van maatregelen om die risico’s te verkleinen.
Deze risicobeoordeling is op zich al heel waardevol. Er komt nog eens bij dat we in de praktijk zien dat – naast de noodzakelijke juridische risico’s – ook ethische standpunten en maatschappelijke risico’s worden meegenomen.
‘Privacy by design’ wordt de standaard
De AVG verandert dus niet alleen procedures, maar juist ook de mindset van organisaties. Die doen steeds meer aan privacy by design: ze ontwerpen producten en diensten voortaan op zo’n manier dat ze privacyproblemen voor zijn. Zo kunnen ze gegevensverzameling van het begin af aan minimaliseren, kiezen voor het anonimiseren of ‘pseudonimiseren’ van data en investeren in informatiebeveiliging, bijvoorbeeld in de vorm van encryptie.
Privacy by design kan uitgroeien tot een brede ontwerpfilosofie, waarbij programmeurs leren nadenken over ethische kaders, en publieke waarden ontwerpkeuzes sturen.
De markt werkt ook mee
Dat leidt niet alleen tot maatschappelijk verantwoord ondernemen. Producten en diensten die aansluiten bij publieke waarden zorgen ervoor dat de markt aantrekt. Burgers staan steeds meer op hun strepen, en kiezen steeds vaker voor privacy-vriendelijke producten en diensten. Zo zijn chat-apps als Signal, die gebruik maken van end-to-end encryptie, in opkomst en kiezen we steeds vaker voor alternatieven voor de Google zoekmachine. Letten op publieke waarden geeft bedrijven dus ook een competitief voordeel.
Alle reden om met de komst van de AVG die kansen te pakken. De succesvolle organisatie van de 21ste eeuw is een organisatie die maatschappelijke belangen en publieke waarden hoog op de agenda heeft staan.
Door Iris Huis in ’t Veld en Arnold Roosendaal van Privacy Company, een adviesbureau dat bedrijven en overheden helpt te voldoen aan privacyregels.
Meer blogs over hoe IT'ers kunnen werken
- Frans Stafleu en Linda Kool: Programmeurs, omarm de verantwoordelijkheid die past bij jullie positie
"We moeten er op kunnen vertrouwen dat programmeurs ethisch verantwoord werken. Zij zijn immers de eersten die de effecten van technologie kunnen zien." Lees verder - Jaap-Henk Hoepman: Doorbreek monopolies met open standaarden
"We staan er zelden bij stil. Maar e-mail is een wereldwonder. Een voorbeeld van hoe de rest van het internet eigenlijk zou moeten zijn." Lees verder - Sheila Jasanoff: We hebben nederige technologieën nodig
"Hoe zorgen we dat een nieuwe technologie de mens ten goede komt? Bij elke nieuwe technologie moeten we de tijd nemen om deze vraag te stellen." Lees verder - Computer scientist TU Delft: Ingenieurs, zorg dat we de juiste data kunnen delen
"Technologie moet meebewegen met de normen en waarden van de gebruikers. We moeten leren technologie met maatwerk, en met gevoel voor context, te ontwikkelen." Lees verder - KNVI: Geef IT’ers de ruimte om schending grondrechten te benoemen
"IT-professionals moeten bewust nadenken over digitalisering en grondrechten. Hoog tijd dat IT’ers zichzelf voortdurend concrete vragen gaan stellen." Lees verder
Door Iris Huis in ’t Veld en Arnold Roosendaal van Privacy Company, een adviesbureau dat bedrijven en overheden helpt te voldoen aan privacyregels.
Meedoen aan deze blogserie
Meedoen kan door onze onderzoekers Jurriën Hamer of Linda Kool te benaderen voor een reactie of gastbijdrage, en reageren kan op Twitter, LinkedIn en Facebook.
Meer lezen
Lees meer over 'beschaafde bits' in onze publicaties hierover in 2017:
- Human Rights in the Robot Age (over mensenrechten in het digitale tijdperk)
- Eerlijk delen (over o.a. de opkomst van AirBnB en andere deelplatforms)
- Een nooit gelopen race (over o.a. cyberdreigingen)
- Opwaarderen (over publieke waarden in de digitale samenleving)
En volg deze blogserie via deze pagina.