Steun ons en help Nederland vooruit

zondag 18 februari 2018

Hoe zou jij het vinden als ik alles van jou zou weten? Je hebt toch niets te verbergen?

Ik zit samen met een paar ondernemers in een klein cafeetje. Een van de ondernemers heeft gehoord dat ik sinds kort een studie privacy management volg. “Wat houdt dat in?”, vraagt Anneke. Zij is de eigenaresse van een populaire modezaak.

(De gesprekken en situaties in deze blog zijn echt gevoerd en bestaan echt. De namen zijn gefingeerd.)

“Ben jij al klaar voor de nieuwe privacywet?”, vraag ik Anneke. Ze heeft geen idee waar ik het over heb.

Eigenlijk had ze het moeten weten. Net als alle ondernemers, managers, politici en bestuursleden in de hele EU.

Twee jaar geleden heeft het Europees parlement de General Data Protection Regulation (GDPR) aangenomen. In goed Nederlands de Algemene Verordening Gegevensbescherming (AVG).

Deze nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Ook voor kleine mkb’ers en zzp’ers.

“Ik doe niets met internet’, zegt Anneke.

De risico’s van ondeskundige beunhazen

Aan tafel luisteren andere ondernemers geinterresseerd mee. Henk is een gedreven aannemer. “Ik ben al zo oud dat ze aan mij geen aandacht meer besteden”, lacht Henk. Hij heeft ook nog nooit van de privacywet gehoord. Maakt zich er ook niet druk over. Ondertussen vindt hij het normaal dat hij zich als aannemer aan strenge bouwvoorschriften moet houden. Hij kent de risico’s die ondeskundige beunhazen opleveren voor onze veiligheid.

“Het gaat niet alleen om internet”, vertel ik. “Jij biedt klanten toch kortingskaarten aan?”, stel ik Anneke een vraag waar ik het antwoord al op weet. Ze knikt.

“Stel nou dat een klant wil weten hoeveel korting er al op de kaart staat. Dan vertel je dat waarschijnlijk gewoon.”

Ze knikt opnieuw. “Prima. Volgens de privacywet mogen klanten vragen welke informatie de ondernemers over hen hebben opgeslagen. Ze mogen ook vragen om die gegevens te verwijderen. Dat zullen veel klanten bij kortingskaarten waarschijnlijk niet doen.

Toen Albert Heijn jaren geleden, nog voor de komst van de smartphone, met de bonuskaart begon was er veel kritiek. Veel mensen wilden niet dat Albert Heijn hun privé gegevens zou opslaan. Appie beloofde alle klanten dat zij nergens bang voor hoefden te zijn. En als je wilde kon je de kaart ook anoniem gebruiken.

De bonuskaart van Appie

En toen kwam Albert Heijn met de Appie app waarmee je handig een boodschappenlijst kon maken en waarmee die boodschappenlijst zo wordt gepresenteerd dat er een handige efficiënte looproute door jouw Albert Heijn supermarkt wordt gegenereerd.

Je kunt je bonuskaart aan de app toevoegen. En als je dat doet zie je opeens dat Albert Heijn alle boodschappen van de afgelopen jaren aan jouw bonuskaart heeft gekoppeld. Het nummer van jouw bonuskaart blijkt opeens een identifiteitsnummer te zijn. Kortom privacygevoelig. Albert Heijn weet met terugwerkende kracht wie jij bent en kan jou vanaf nu aanbiedingen doen gebaseerd op jouw aankoopgedrag.

Niks mis mee als je daardoor echt korting krijgt, denken sommige mensen nu. Maar denken die mensen nu werkelijk dat supermarkten graag geld weggeven. Ze geven korting als ze weten dat ze die korting dubbel en dwars terugverdienen omdat mensen meer geld gaan uitgeven aan andere producten die ze anders eigenlijk niet hadden gekocht.

Supermarkt voorspelt dat klant zwanger is
Hoe ver dat gaat blijkt uit het voorbeeld van de Amerikaanse supermarktketen Target die dankzij het koopgedrag al weet dat een vrouw zwanger is voordat zij het zelf in de gaten heeft. Een vader vond het vreemd dat zijn dochter opeens veel reclame te zien kreeg voor zwangere vrouwen. Zij ontkende zwanger te zijn. De vader vroeg ophelddering bij de supermarktketen toen bleek dat er toch een baby op komst was. Hoe kon Target dat weten als zijn dochter het zelf nog niet wist?

Terug naar Anneke. De eigenaresse van een populaire modezaak.

Jaloerse vriend
“Stel nou dat een jaloerse man vermoedt dat zijn vriendin vreemd gaat en argwanend is vanwege dure kleding die ze draagt en waarvan hij weet dat zij zich die kleding zelf niet kan veroorloven en hij heeft er niet voor betaald. Hij denkt dat haar minnaar die kleding betaalt. Haar vriend denkt slim te zijn door jou heel nonchalant tussen neus en lippen door te vragen hoeveel korting er de laatste tijd op haar kortingskaart is opgebouwd. Vertel je dat dan?”

“Waarschijnlijk wel”, zegt Anneke.

“Dat mag dus niet. Dat zijn privé gegevens van zijn vriendin. Privacygevoelige informatie.”

“En stel dat jij je aan de regels houdt, maar een loslippige medewerkster op een verjaardagsfeest niet. Dan ben jij als onderneemster verantwoordelijk.”

Persoonsgegevens van personeel
“Het gaat veel verder dan een internet site. Het gaat ook om persoonsgegevens van je personeel.”

Mag je nog persoonlijke vragen aan je medewerkers stellen?

  • Mag je weten waarom ze ziek zijn?
  • Welke gegevens mag je opslaan van vertegenwoordigers waar je zaken mee doet?
  • Wat weet je van de slimme koppelingen van je moderne kassasysteem met je magazijn, betalingssystemen en wellicht je leveranciers
  • Hoeveel gegevens zijn herleidbaar tot natuurlijke personen.

“Nog meer regels’, verzucht Anneke. ‘Alsof we het al niet druk genoeg hebben. Ik word er stapel gek van. Het is gewoon niet leuk meer om te ondernemen. Ik denk dat ik er maar mee stop.”

Ze is de vijftig gepasseerd. Moet niets hebben van alle moderne communicatie.

“Ik heb iemand die mijn website onderhoudt”, zegt de onderneemster. “Ik roep hem er even bij.”

“Haar website is veilig”, zegt de webspecialist. “Wij zijn gespecialiseerd in veiligheid.” Hij geeft me zijn visitekaartje. Daar staat in grote letters op dat hij gespecialiseerd is in veiligheid.

Ik ben nieuwsgierig. “Wat doe je?” “Wij verkopen camerabeveiligingssystemen”, zegt hij. “Dan hebben jullie ook te maken met de privacywet”, zeg ik. “Klopt”, zegt de man. ‘Wij zorgen er voor dat alles op orde is.”

“Dan hebben jullie ook al contracten met jullie klanten afgesloten waarin je afspraken hebt gemaakt over de bescherming van persoonsgegevens en procedures in geval die cameras gehackt worden”, zeg ik.

Veiligheid staat bij ons voorop
De veiligheidsspecialist kijkt me triomfantelijk aan. “Natuurlijk. We hebben heel veel klanten. Veiligheid staat bij ons voorop. Maar wij hebben deze camera’s niet geleverd.” Hij blijkt in dit geval alleen verantwoordelijk voor de website. Alleen al het feit dat hij zijn klant niet informeert over de hackgevoeligheid van haar camera’s geeft te denken over zijn kennis van de privacywetgeving.

“Dan moet je schriftelijk afspraken maken met de leverancier van die cameras”, zegt ik tegen de onderneemster.

“Dat kun je vergeten”, reageert de veiligheidsspecialist. “Die camera’s zijn lek. De backdoor staat open. Je kunt er zo bij vanaf internet. Dat is algemeen bekend in de branche.”

“Dan zul je andere camera’s moeten kopen”, vertel ik Anneke die duidelijk met de minuut meer gefrustreerd raakt. “Jij bent verantwoordelijk voor die camera’s. Als er een datalek is kun jij een boete van 4 procent van je omzet krijgen als blijkt dat jij nalatig bent geweest. Jij hoort te controleren dat die camera’s aan de eisen voldoen. Daarom moet je ook schriftelijk afspraken maken met de leverancier. Dan is hij verantwoordelijk. Als hij niet wil tekenen ben je gewaarschuwd. Dan ligt de veratntwoordelijkheid bij jou.”

Ze denkt even na. “Mijn camera’s zijn niet op het internet aangesloten”, zegt ze. “De beelden worden op een harde schijf opgeslagen en ze worden na drie maanden gewist.”

“Dat mag ook niet. Je mag de beelden maximaal vier weken bewaren. En het maakt niet uit of ze op internet zijn aangesloten. Het gaat er om dat je privacygevoelige data opslaat. Heb je ook bordjes in de winkel hangen waarop je meldt dat er camerabewaking is?”

Wim mengt zich in het gesprek. Hij is ook winkelier. “Dankzij mijn camera’s hebben ze laatst een fietsendief kunnen pakken”, zegt hij. “Door al die regels kan dat straks dus niet meer”, veronderstelt hij. “Dan komen de criminelen er gewoon mee weg. En wij worden als ondernemers gestraft. Dat is toch een omgekeerde wereld?”

“Als je je aan de regels houdt mag je gewoon camera’s blijven gebruiken”, zeg ik. “Je mag die beelden alleen niet zo maar aan iedereen laten zien of via social media verspreiden.”

Fietsendief gepakt dankzij video op Facebook
“Dat bedoel ik”, zegt Wim. “Ze hebben die fietsendief kunnen pakken omdat een klant van me met haar telefoon een video heeft gemaakt toen ik die beelden liet zien. Zij heeft die video op Facebook gezet. Ze hadden de dief zo te pakken.”

“Dan was jij zwaar in overtreding”, zeg ik. “Dat kan duur uitpakken. Kan je duizenden Euro’s kosten. Jij had haar die beelden nooit mogen laten zien. Alleen de politie had ze mogen zien. Jij hebt het mogelijk gemaakt dat zij die beelden op Facebook heeft verspreid.”

De stemming onder de middenstanders is tot een dieptepunt gedaald.

Ik kijk via mijn smartphone op de website van Anneke. Geen slotje te zien voor het webadres. De site is duidelijk niet ssl-gecertificeerd. Daarmee voldoet de site niet aan de eisen. Een onversleutelde site kan lek zijn.

Ze blijkt ook geen algemene voorwaarden of privacy statement op de site te hebben.

Een ‘veilig’ visitekaartje is geen garantie
De veiligheidsspecialist heeft veel steken laten vallen.

Niet iedereen die op zijn visitekaartje heeft staan dat hij een veiligheidsspecialist is hoeft dat ook te zijn.

Daarom is het ook zo belangrijk zorgvuldig te controleren of de mensen waar jij mee werkt voldoende kennis van zaken hebben en dat de apparatuur waar je mee werkt voldoet aan de eisen.

Als iemand daar schriftelijk geen afspraken over wil maken moet je op zoek naar andere specialisten en goedgekeurde apparatuur.

De site op zich stelt overigens niet veel voor. Een pagina met een paar foto’s. Als ik haar advies zou moeten geven zou ik zeggen stop gewoon met die site.

Maar omdat ik weet dat ze ook nieuwsbrieven verstuurt en op Facebook actief is weet ik dat dat advies fout zou zijn. Ze heeft een webadres nodig om haar algemene voorwaarden en privacystatement te tonen. Vanaf Facebook moet ze naar die algemene voorwaarden verwijzen. En als ze gebruik zou maken van Instagram en Pinterest, wat ik haar als modeonderneemster zou adviseren, zou ze dat ook vanaf die kanalen moeten doen.

25 mei moeten alle ondernemers aan de nieuwe privacywet voldoen. Afgelopen week heb ik met diverse ondernemers gesproken. Geen enkele ondernemer bleek op de hoogte van de regels. Vanaf 25 mei kunnen ze allemaal worden beboet. En die boetes liegen er dus niet om.

Weer meer bureaucratie en werkdruk
Ik snap ondernemers die gek worden van alle regels. Weer extra administratie. Weer meer werkdruk.

De meeste ondernemers hebben geen flauw idee van internettechniek.

Van de slimme kassa’s waar ze mee werken.

Van de risico’s van datalekken.

Hoe grote internetbedrijven als Amazon en Zalando met klantgegevens klanten verleiden – lees manipuleren – om dingen te kopen die ze nooit van plan waren te kopen.

Hoe grote bedrijven als Google en Facebook via de like-buttons op de sites van de ondernemers feitelijk 24-uur per dag bedrijfsspionage kunnen doen bij (kleine) ontwetende ondernemers en daardoor oneerlijke concurrentie mogelijk maken.

De nieuwe strenge wetgeving is niet bedoeld om het ondernemers moeilijker te maken.

De nieuwe wetgeving is juist bedoeld om klanten en met name kleine ondernemers te beschermen tegen oneerlijke manipulatie door grote multinationals die zich niets aan trekken van regels en telkens mazen in de wet zoeken.

De boetes zijn daarom ook zo hoog. 4 procent van de jaaromzet met een maximum van 20 miljoen Euro. En om die reden worden ook de leidinggevenden hoofdelijk aansprakelijk gesteld.

De nieuwe privacywet is tegelijk ook niet echt nieuw.

Sinds 2001 geldt in Nederland de Wet Bescherming Persoonsgegevens (WBP) waarin veel regels zijn opgenomen die nu ook in de Europese privacywet zijn opgenomen. Iedere ondernemer moest al aan deze wet voldoen.

Het is echter nu voor het eerst dat in heel Europa de regels gelijk zijn en dat er keiharde afspraken zijn gemaakt over verplichte handhaving en de boetes zo hoog zijn dat ook multinationals zich het niet meer veroorloven kunnen om de regels te negeren.

Waarom vinden we een bouwverordening wel normaal?
Eigenlijk is het raar dat er nog niet eerder streng is opgetreden.

Wim vindt het als aannemer heel normaal dat hij in de bouw moet voldoen aan strenge bouwvoorschriften.

Dat er bij complexe bouwwerken een architect moet worden ingeschakeld. Als er een parkeergarage instort of een balkon afbreekt vinden we het normaal dat de aannemer en / of architect wordt bestraft.

We vinden het normaal dat de belastingdienst strenge eisen stelt aan de boekhouding. En dat ondernemers tijdig btw-aangifte doen en anders meteen een boete krijgen. Geen waarschuwing. Excuses tellen niet. Je krijgt meteen een forst boete.

Als we te hard rijden kunnen we ook een hoge bekeuring krijgen. De pakkans valt misschien mee, maar als je geflitst wordt is er meestal geen ontkomen aan.

Datzelfde geldt vanaf nu voor de naleving van de privacyregels.

Maar het vreemde is dat tot op heden geen eisen worden gesteld aan de wetskennis van bouwers van websites en applicaties?

Er komen steeds meer apparaten op de markt die gebruik maken van privacygevoelige informatie.

Wat te denken van horloges met gps voor kinderen? Speelgoed met spraakbesturing – en dus afluistermogelijkheid. De bouwers van deze apparatuur en gadgets hebben vaak geen weet van de wetten waar hun creaties aan moeten voldoen.

Hoe zou jij het vinden dat ik alles over jou zou weten? Van minuut tot minuut?

Dat ik op basis van die gegevens jouw gedrag kan voorspellen en manipuleren?

Ik denk dat je dat niet oké zou vinden. Ondertussen bespioneren apps op jouw smartphone je al de hele dag.

Vanaf het moment dat je bent opgestaan tot het moment dat je gaat slapen. En als je ook nog een slaapapp gebruikt zelfs ‘s nachts.

Ondertussen bespioneren smart-televisies ons kijkgedrag.

En weten autofabrikanten dankzij chips in moderne auto’s eigenlijk alles over ons rijgedrag en soms zelfs waar we zijn geweest.

Big Brother is watching us. Commerciele spionage en manipulatie.

Daar moet de nieuwe privacywet een halt toe roepen.

Datalek bij ledenlijsten kandidaat raadsleden
De overheid moet ondertussen de hand in eigen boezem steken.

De overheid laat zelf ook vele steken vallen. Ik sta als lijstduwer op de lijst van D66 Veendam voor de gemeenteraadsverkiezingen in maart.

Onlangs moesten we de lijst met kandidaatraadsleden aanleveren bij de gemeente Veendam.

De secretaris vroeg via Whatsapp of we een kopie van ons identiteitsbewijs konden leveren.

Ik maakte met de Kopie ID app op mijn smartphone een foto van mijn rijbewijs en maakte zoals de overheid zelf aanraadt mijn BSN-nummer onleesbaar.

Een dag later een Whatsapp van de secretaris. De gemeente moest een kopie met leesbare BSN hebben.

De vraag is dan waarom? De gemeente dient alleen mijn identiteit te controleren. Het is dan niet handig dat alle secretarissen van lokale politieke partijen deze kopieën van identiteitsbewijzen verzamelen.

In Veendam zijn op die manier tientallen kopieën van ID-kaarten in handen gekomen van mensen die daar geen bevoegdheid voor hebben.

Ik ga er uiteraard vanuit dat onze secretaris betrouwbaar is, maar er zijn voorbeelden van bestuurders die misbruik maken van gegevens. Die kunnen met deze ID-gegevens veel schade aanrichten.

Hetzelfde geldt voor hotels en autoverhuurbedrijven die een kopie van paspoorten vragen.

Dat is nergens voor nodig. Ze hoeven alleen maar een blik op je ID-kaart te werpen om te controleren of jij bent wie je zegt te zijn. En als ze toch een kopie willen dan volstaat een kopie waarop je BSN onleesbaar is gemaakt.

Hoe groot is de pakkans?
Moeten de MKB-ers die zich nog niet hebben voorbereid op de nieuwe Europese privacywet zich nu zorgen gaan maken?

De kans dat zij vanaf 25 mei direct een boete zullen krijgen is aanwezig, maar deskundigen verwachten dat het zo’n vaart nog niet zal lopen voor kleine ondernemers.

Juist de grote bedrijven, de overheid en de zorgsector zullen naar verwachting als eerste worden aangepakt.

Maar dat wil niet zeggen dat kleine MKB-ers nog wel even kunnen achteroverleunen. Het is verstandig om vanaf nu toch aandacht aan de wetgeving te besteden. Van uitstel komt afstel. En van afstel kunnen op den duur torenhoge boetes komen.

Op de site van de Autoriteit Persoonsgegevens staat veel handige informatie.

Privacy College in Hoogezand en Veendam


Als parkmanager voor Parkmanagement Midden Groningen en Parkmanagement De Veenkolonien heb ik samen met Biblionet Groningen en de bibliotheken in Hoogezand en Veendam en Pprotectum een Privacy College georganiseerd voor leden van parkmanagement of de bibliotheken.

Het Privacy College in Hoogezand wordt maandagavond 5 maart in de bibliotheek in het Kielzog gegeven.

Het Privacy College in Veendam wordt op woensdagavond 7 maart in de bibliotheek in Cultuurcentrum vanBeresteyn gegeven.