top of page
Zoeken
Foto van schrijverRobert Haerkens

De AVG-wet. Je doet niet mee, of wel?


Afgaand op de imposante kantoren waarin ze gehuisvest zijn, lijkt de Europese Unie bijzonder machtig. Maar dat valt best tegen. Het was een nobel streven om bedrijven te verbieden website bezoekers online te volgen middels cookies, maar toen de Google’s en Facebook’s van deze wereld hun bezoekers de keus gaven tussen een cookie op hun computer of een deksel op hun neus, koos bijna niemand ervoor terug geworpen te worden naar het analoge tijdperk van de Telefoongids en Jambers op TV. En dat betekende, praktisch gezien, het einde van de cookie-wet.

Ik spreek vaak ondernemers en velen worden tot waanzin gedreven door de regelgeving van de overheid. Het kan niet anders of bedrijven halen hun schouders op bij weer een nieuwe wet en gaan over tot de orde van de dag. Neem alleen al de Risico Inventarisatie & Evaluatie. Elk bedrijf moet ‘m hebben maar ik ken er niet één die ook daadwerkelijk voldoet aan alle eisen. Als jij denkt dat jullie de uitzondering zijn, vertel mij dan wanneer je het afgelopen jaar een ontruimingsoefening hebt gehouden.

Natuurlijk heeft de EU inmiddels lering getrokken uit vorige fiasco’s, maar desondanks besloten ze dat de privacywet het best gerepareerd kan worden door hem flink uit te bereiden. Dat betekent dat alle bedrijven per 25 mei moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG). En die zegt dat ik alle lezers van mijn nieuwsbrief opnieuw moet vragen of ze die nog wel willen ontvangen. Als ze de moeite niet nemen om op ‘ja’ te klikken ben ik verplicht hen te verwijderen uit mijn adreslijst. Ik mag hun contactgegevens dan niet eens bewaren. Ra ra, hoeveel organisaties dát gaan doen?

​​

De AVG is net als de RI&E en de cookie-wet veel te breed van toepassing en daarom bij voorbaat gedoemd te mislukken. Voor iemand als ik, die zijn ziel aan Google verkocht in ruil voor de onbeperkte opslag van Google Photo’s, is dat niet erg, zou je zeggen. Maar ik vind eigenlijk dat Europa met de privacywet wel een punt heeft. De vorige generatie heeft ons opgezadeld met de opwarming van de Aarde, een waardeloos pensioen en onbetaalbare zorg, maar wij zadelen onze kinderen op met een probleem dat wel eens onherstelbaar kan blijken: geen enkele privacy. We staan erbij, kijken ernaar en klikken op ‘Akkoord’.

​​

In tegenstelling tot de meeste mensen ben ik echter niet zo bang voor de allergrootste tech-giganten. Microsoft? Google? Daar is het wel op orde. Die kunnen het zich niet veroorloven er nonchalant mee om te gaan. Maar hoe zit het bij alle anderen? Keer op keer maken bedrijven bekend dat door een datalek honderdduizenden persoonsgegevens op straat liggen. Onlangs opende een medewerker in een winkel van de MediaMarkt nog een document met inloggegevens van dealer-portalen zoals die van KPN en Ziggo, recht voor de neus van de klant. Die nam er een foto van en kreeg zo met wachtwoorden als 12345678 toegang tot de abonnementsgegevens van het grootste deel van de Nederlandse bevolking.

Niemand lijkt zich er om te bekommeren. Ik zag een lerares inloggen door haar wachtwoord in te typen op het Digibord. Ik kon ooit zonder wachtwoord rondneuzen in de database van een ERP-applicatie en zag onbedoeld gevoelige aantekeningen, waaronder dat een werkneemster een miskraam had gehad. Ik durf te beweren dat de beveiliging van bijna alle MKB-bedrijven tekort schiet. Gebruikers kennen elkaars wachtwoorden, pc’s worden niet vergrendeld, mappen zijn niet afgeschermd, salarisstroken liggen op de printer van de afdeling en mensen kijken in elkaars mail. Als ik jou in vertrouwen iets mail vind jij het misschien niet erg dat collega’s meekijken, maar ik misschien wel.

​​

Let wel, wij IT-bedrijven zijn nog erger. De meeste installeren TeamViewer op elke pc van al hun klanten zodat ze op elk moment van de dag, zonder enige handeling van de gebruiker, mee kunnen kijken. Ze gebruiken overal dezelfde soort wachtwoorden. Het telefoonnummer achterste voren, wie raadt dat nou? Ik. Bij al je andere klanten. Ze leggen verbindingen naar al hun klanten en koppelen die zo onbedoeld ook aan elkaar. Ze geven gebruikers systeembeheer-rechten op pc’s en geven ze daarmee toegang tot alle persoonlijke documenten van alle gebruikers die ook op die pc inloggen.

Je kunt natuurlijk tegenwerpen dat een oplossing zoals een privacy-wet geen verandering brengt in de manier waarop bedrijven hun gegevens beveiligen en dat is ook zo. Je zult er versteld van staan hoeveel bedrijven exact dezelfde privacy-statement op hun website hebben gekopieerd. Een collega heeft er letterlijk de volgende vraag nog staan (zonder antwoord): “Do we let third-parties, including ad networks or plug-ins collect PII from children under 13?”. Google die zin maar eens. Op deze manier heeft het inderdaad geen zin, maar van de andere kant: papieren protocollen en checklists die wel opgevolgd worden hebben van de luchtvaart uiteindelijk het veiligste transport ooit gemaakt.

​​

Bovendien, als Europa niet waakt over onze privacyrechten, wie moet het dan doen? Amerika? Waar het legaal is dat internetproviders je browse-geschiedenis verkopen? China? Waar je alleen treinkaartjes kunt kopen met voldoende saldo in het Social Credit System? Rusland dan? Waar versleutelingssoftware op telefoons verboden is?

Nee, als het aankomt op het beschermen van persoonsgegevens is er maar één werelddeel met het moreel kompas in de juiste richting. En dat is dat van ons. Laten we een baken van beschaving zijn voor de rest.


76 weergaven0 opmerkingen

Recente blogposts

Alles weergeven
bottom of page