In de jarenlange aanloop naar het van kracht worden van de GDPR, bereidden veel bedrijven zich op ongeveer eenzelfde manier voor: door er tot op het allerlaatste moment totaal geen aandacht aan te besteden. Pas toen De Datum steeds dichterbij kwam, drong het door dat dit misschien Een Dingetje Was Waar Iets Mee Gedaan Moest Worden, met als gevolg dat iedereen en zijn moeder in de laatste twee weken voor 25 mei ineens bestookt werd met e-mail.
We love you, please love us back
Of ik maar even wil beseffen, ronken die mailtjes, dat men met mijn privacy in gedachten wakker wordt, en met de veiligheid van mijn gegevens gaat slapen, al jarenlang, en of ik de geweldige wederzijdse band van liefde, begrip en harmonie wil voortzetten maar dan moet ik wel even nog een keer expliciet toestemming geven om mijn gegevens voor godweetwat te gebruiken, alsjeblieft dankjewel, en anders kan ik misschien beter mijn account opzeggen.
Dat laatste komt overigens bij meerdere grote partijen als uiteindelijke oplossingen: of je slikt het feit dat men vanalles en nog wat met je gegevens deed, zoals dat altijd al gebeurde, maar nu moet je er soort van op de hoogte van zijn, en anders pleur je maar op. Er zijn ook wat Amerikanese bedrijven die besluiten om de Europese handdoek maar in de ring te gooien en het hele privacy-verhaal met een IP-block op te lossen - maar intussen wel tegen de thuisbasis blijft roepen dat ze privacy en gegevensbeveiliging heus een enorm belangrijk ding vinden. Heus.
En dan zijn er nog de vele, vele mailtjes van diensten en dingen waar ik járen geleden eens iets mee te maken heb gehad, en die nu ineens weer even aan mij denken. Een mooie reminder om nog wat dingen op te zeggen die nog niet waren opgezegd, en misschien nog wat wachtwoorden wat veiliger te maken voor de overblijvers.
Maar wat houdt die hele wet nou in, dan?
In een notedop: de bedoeling van de GDPR (in Nederland ingevuld in de AVG) is om Europese burger meer inzicht te geven in welke persoonsgegevens een partij over hem of haar heeft, wanneer die gegevens zijn vastgelegd, met welk doel, wanneer daar toestemming (door de burger zelf) voor is verleend, enzovoorts. Verder kan zo'n burger op elk moment inzage vragen in die gegevens, en ze, voor zover ze niet van kritiek belang zijn voor de verzamelende partij voor het uitvoeren van een dienst, laten verwijderen.
De gegevens-verwerkende partijen zijn verder verplicht om veilig en zorgvuldig met die gegevens om te gaan, er voor te zorgen dat die niet onbedoeld bij andere partijen terecht komt, en als dat wel gebeurt, dat de getroffen personen binnen een paar dagen op de hoogte worden gebracht.
Misbruik van gegevens, ongemelde lekken, gegevens verzamelen zonder toestemming: het kan allemaal beboet worden, en flink ook. Tot 20 miljoen Euro, of 4% van de wereldwijde jaaromzet van de overtreder, afhankelijk van wat het hoogste is. Au.
Dat dat in een tech-klimaat dat in de afgelopen jaren vooral bezig was om 1984 in het klein na te bouwen, voor nogal wat reuring zorgt, moge duidelijk zijn.
Daar waar het DNZM betreft...
Bloggers zoals ik hebben eigenlijk weinig te maken met de GDPR. Ik sla immers geen persoonsgegevens op. In de loop der tijd heb ik Google Analytics al eens van de pagina's afgehaald -- het beetje inzicht in verkeer is eigenlijk niet zo heel belangrijk, en het feit dat ik in ieder geval niet meewerk in de grootschalige tracking van internetgebruikers vind ik nu zwaarder wegen. Intussen heb ik Disqus - als commentaar-platform - ook verwijderd. Ik moet nog even zien of ik daadwerkelijk met een alternatief ga komen, of dat ik het er voor nu bij laat. Zo ontzettend veel werd er niet gereageerd.
Gevolgen en de toekomst en zo
Het is nu nog wat vroeg om zeker te weten wat er nu precies gaat gebeuren nu die wet volledig van kracht is. De standaard grote namen (Facebook, Google, Twitter et al) proberen om alsnog dat benodigde consent te krijgen door de gebruikers voor een simpele keuze te stellen: "of je geeft toestemming, of je account wordt opgezegd". In de GDPR wordt dat expliciet niet toegestaan, en de eerste officiële klacht daarover was al ingediend toen de wet net van kracht was. Dit soort klachten, en de afhandeling ervan, zal duidelijk maken hoe serieus de EU hierin is (waarschijnlijk "behoorlijk fucking serieus"), en hoe ze omgaan met bedrijven die de wet wat creatief proberen uit te leggen, en hoe die bedrijven reageren op de reactie van de EU. De komende paar jaar zal dat nog het nodige getouwtrek opleveren.
In het begin zullen er ook de nodige partijen zijn die hun diensten aan Europeanen opschorten, ofwel uit een deels onterechte angst dat ze bij het minste of geringste een gigaboete krijgen, ofwel omdat ze helemaal geen zin hebben om zich ook maar een half moertje aan te trekken van wiens privacy dan ook. Voor wat betreft dat laatste: good riddance. En wat dat eerste betreft: hopelijk zien ze in, dat eventuele overtreders eerst een waarschuwing krijgen, en een kans om hun zaakjes op orde te maken, voordat er echt met boetes wordt gegooid, en dat de hoogte van die boetes dan nog afhangt van het soort overtreding en de grootte van het bedrijf. Maar goed, een dag geen FUD verspreid is een dag niet geleefd...
De komende paar jaren, dat is zeker, worden een stuk interessanter dan de afgelopen twee jaar, toen de wet al wel actief was, maar nog niet enforced. Het zal mij benieuwen hoe de diverse data-silo's zich gaan houden in wat in praktijk lijnrecht tegenover hun business model staat. En het wordt ontzettend interessant om te zien of dit alles nu daadwerkelijk een positieve bijdrage levert aan de privacy van Jan met de pet; ik ben voorzichtig hoopvol.
In ieder geval ga ik me nu even door een overvolle inbox heen werken, en popcorn maken voor bij de show die gaat komen...