Privacyverklaring

Sinds 25 mei 2018 (de dag dat de huidige privacywet van kracht werd) moeten organisaties, die persoonsgegevens verwerken, aantonen dat ze ons recht op privacy respecteren en afdoende maatregelen hebben genomen om jouw en mijn persoonsgegevens te beschermen.

Dat aantonen gebeurt met een privacyverklaring of privacystatement. In de privacywet staat in Artikel 13 wat daarin moet staan. Feitelijk moet zo’n verklaring de betrokkene (dus diegene die zijn gegevens verstrekt) in staat stellen goed geïnformeerd te besluiten om de persoonsgegevens te verstrekken. Zo’n verklaring kan kort en compact zijn waarbij je eventueel kunt doorklikken naar gedetailleerde informatie. Soms is zo’n privacyverklaring voor iedereen goed leesbaar en begrijpelijk maar lang niet altijd.

Dat laatste is bijvoorbeeld het geval wanneer hij uit meer dan 40 pagina’s bestaat of allerlei doorverwijzingen bestaan naar andere documenten, zodat er geen doorkomen aan is. Dat is veelal het geval bij diensten en apps die gratis of bijna gratis worden aangeboden. Het is dan niet zo vreemd dat iemand dat doorlezen overslaat en zich akkoord verklaard met de inhoud.

Maar ondoorzichtigheid is niet het enige. Regelmatig is te constateren, dat een aantal van de, in Artikel 13 genoemde elementen (zoals bijvoorbeeld die bij 13.2) niet in de verklaring zijn opgenomen of worden onderbelicht. 

Overigens zijn het niet alleen de winstmakende organisaties die de verleiding van het profileren en het toepassen van algoritmes kunnen weerstaan. Die behoefte kan ook ontstaan als (bijvoorbeeld o.i.v. bezuinigingen) er een dringend ervaren noodzaak is om bepaalde taken efficiënter te beleggen

Maar er is toch toezicht?
Je zou zeggen dat als iets in de wet staat en zelfs vastligt in de grondwet, dat het dan allemaal prima geregeld is. Er is tenslotte toch een “privacywaakhond”. De Autoriteit Persoonsgegevens is toch toezichthouder? Die kan toch forse boetes uitdelen? Moeten we ons dan toch zorgen maken? Jazeker.

In 2019 dienden ruim 27.800 mensen een klacht in bij de Autoriteit Persoonsgegevens vanwege een mogelijke privacyschending. Dat was bijna 79 procent meer dan in 2018. Ondanks maatregelen om klachten sneller af te handelen, blijft de capaciteit van de privacytoezichthouder onvoldoende.  ‘Met het huidige aantal medewerkers kunnen wij de meeste klachten pas na zes maanden in behandeling nemen. Dat moet anders: mensen hebben recht op bescherming van hun privacy en moeten daarvoor snel terecht kunnen.’ zo is op de site van de Autoriteit Persoonsgegevens te lezen.

Of al die meldingen terecht zijn zal moeten blijken. Wel kun je stellen dat niet alle privacyschending ook daadwerkelijk bij de toezichthouder worden gemeld. 6 maanden geduld voordat je klacht aan bod komt is niet bepaald motiverend. Hoe graag je dat ook zou willen, handhaving in de vorm van toezicht en het innen van boetes door de toezichthouder blijkt dus minder effect te hebben dan eerder werd aangenomen.

Als je je ook realiseert dat zelfs ruim 2 jaar na het van kracht worden van de nieuwe privacywet er nog steeds organisaties zijn die niet eens een verklaring hebben/publiceren, kun je gerust stellen dat er meer dan voldoende redenen zijn voor aanvullende maatregelen om betrokkenen beter in staat te stellen om hun rechten te kunnen uitoefenen.

Afbeelding Gerd Altmann