Privacyverklaring

Sinds 25 mei 2018 (de dag dat de huidige privacywet van kracht werd) moeten organisaties, die persoonsgegevens verwerken, aantonen dat ze ons recht op privacy respecteren en afdoende maatregelen hebben genomen om jouw en mijn persoonsgegevens te beschermen.

Dat aantonen gebeurt met een privacyverklaring of privacystatement. In de privacywet staat in Artikel 13 wat daarin moet staan. Feitelijk stelt zo’n verklaring de betrokkene (diegene die zijn gegevens verstrekt) in staat om er achter te komen of zijn/haar gegevens in vertrouwde handen zijn. Om vervolgens goed ge├»nformeerd daarover een besluit te nemen. In plaats van een verklaring wordt ook wel naar een privacybeleid of privacypolicy verwezen. Zo’n verklaring kan kort en compact zijn waarbij je eventueel kunt doorklikken naar gedetailleerde informatie. Soms is zo’n privacyverklaring voor iedereen goed leesbaar en begrijpelijk maar niet altijd.

Dat laatste is bijvoorbeeld het geval wanneer hij uit meer dan 40 pagina’s bestaat waar geen doorkomen aan is. Dat is veelal het geval bij diensten en apps die gratis of bijna gratis worden aangeboden. Het is dan niet zo vreemd dat iemand dat doorlezen overslaat en zich akkoord verklaard met de inhoud.

Maar er is toch toezicht?
Je zou zeggen dat als iets in de wet staat en zelfs vastligt in de grondwet, dat het dan allemaal prima geregeld is. Er is tenslotte toch een “privacywaakhond”. De Autoriteit Persoonsgegevens is toch toezichthouder? Die kan toch forse boetes uitdelen? Moeten we ons dan toch zorgen maken? Jazeker.

In 2019 dienden ruim 27.800 mensen een klacht in bij de Autoriteit Persoonsgegevens vanwege een mogelijke privacyschending. Dat was bijna 79 procent meer dan in 2018. Ondanks maatregelen om klachten sneller af te handelen, blijft de capaciteit van de privacytoezichthouder onvoldoende. ‘Met het huidige aantal medewerkers kunnen wij de meeste klachten pas na zes maanden in behandeling nemen. Dat moet anders: mensen hebben recht op bescherming van hun privacy en moeten daarvoor snel terecht kunnen.’ zo is op de site van de Autoriteit Persoonsgegevens te lezen.

Of al die meldingen terecht zijn zal moeten blijken. Wel kun je stellen dat niet alle privacyschending ook daadwerkelijk bij de toezichthouder worden gemeld. 6 maanden geduld voordat je klacht aan bod komt is niet bepaald motiverend. Hoe graag je dat ook zou willen, handhaving in de vorm van toezicht en het innen van boetes door de toezichthouder blijkt dus minder effect te hebben dan eerder werd aangenomen.

Als je je ook realiseert dat zelfs ruim 2 jaar na het van kracht worden van de nieuwe privacywet er nog steeds organisaties zijn die niet eens een verklaring hebben/publiceren, kun je gerust stellen dat er meer dan voldoende redenen zijn voor aanvullende maatregelen om betrokkenen beter in staat te stellen om hun rechten te kunnen uitoefenen.

Afbeelding Gerd Altmann