Opinie: Nieuwe privacywet slaat soms door

Ook voetbalverenigingen, zoals THOS in Beerta, gaan de gevolgen van de nieuwe privacy wetgeving voelen. Foto Archief Huisman Media

Nieuwe privacywetgeving kan kleine en middelgrote bedrijven, (digitale) start-ups en verenigingen onnodig in de problemen brengen.

Eind mei treedt de nieuwe privacywetgeving in Nederland in werking. Deze Europese wet geldt niet alleen voor bedrijven als Google en de Rabobank, maar ook voor zzp’ers, kleine ondernemingen, verenigingen en stichtingen (waaronder kerken). Slaan we met deze wet niet te ver door?

Toestemming

De consument krijgt in de nieuwe situatie meer invloed op het gebruik van zijn gegevens. Zo krijgt hij meer controle door het recht om gegevens in te zien, het recht om gegevens te wijzigen en het recht om vergeten te worden. Ook moeten bedrijven meer toestemming vragen aan consumenten om hen te benaderen. In de nieuwe regelgeving mag je, wanneer je geen klant meer bent van een bedrijf, niet zomaar meer worden bestookt met bijvoorbeeld e-mails of WhatsApp-berichten. De consument moet daar eerst toestemming voor geven.

Een gevolg hiervan is wel dat het voor bedrijven lastiger wordt om klanten te werven. Het zou er bijvoorbeeld toe kunnen leiden dat bedrijven weer massaal ongericht ongeadresseerde brieven en folders laten bezorgen, met een lager rendement en meer milieubelasting.

Globalisering

Bedrijven vrezen ook voor oneerlijke concurrentie in een globaliserende wereld. Kunnen bijvoorbeeld Amazon of Alibaba vanuit de VS en China Nederlandse potentiële klanten vanuit hun servers wel benaderen zonder beboet te worden? En hoe wordt deze wet geïmplementeerd en gehandhaafd in landen als Italië en Griekenland? Deze laatste vraag is meer dan urgent, omdat landen binnen de Europese Unie enige vrijheid krijgen bij de invoering van bepaalde EU-regels. In ieder geval zijn volgens de EU veel lidstaten nog niet goed voorbereid op de nieuwe wetgeving. En kan er dus sprake zijn van oneerlijke concurrentie binnen de Europese Unie.

De nieuwe wetgeving kijkt ook heel sterk naar de proceskant. Hoe bewaren bedrijven hun gegevens van klanten en hoe worden deze gegevens verwerkt? En nog belangrijker: wie hebben er allemaal toegang tot de data? Klanten kunnen deze vragen ook stellen, en bedrijven en instellingen moeten daar dan antwoord op kunnen geven. Wellicht zal er een privacyfunctionaris moeten worden aangesteld.

Stappenplan

De overheid heeft op de website een stappenplan dat laat zien wat er allemaal moet gebeuren. Maar de praktijk is waarschijnlijk weerbarstiger. Ook hier is de vraag: slaan we niet te ver door? Zorgt deze wetgeving, met al haar goede bedoelingen, niet voor een overdreven grote belasting voor verenigingen, stichtingen en kleine bedrijven?

Privacy is een groot goed, maar wat is het maatschappelijk nut dat we van een plaatselijke kledingzaak eisen dat ze zo’n traject doorloopt, alleen vanwege haar eigen database die het mogelijk maakt dat klanten kunnen sparen voor korting op hun aankopen? En waarom moeten de vele (sport)verenigingen, die al moeite genoeg hebben het hoofd boven water te houden vanwege een gebrek aan vrijwilligers, zich hier ook nog mee bezighouden?

Coulance

Enig uitstel bij de invoering van of coulance bij de handhaving van deze wet zou voor deze kleine partijen gewenst zijn. Wanneer er fouten geconstateerd worden, kan dat leiden tot een boete van 4 procent van de jaaromzet. Dat kunnen zeer grote bedragen zijn voor bijvoorbeeld kleine zelfstandige detaillisten. Een jaaromzet van 500.000 euro kan een boete opleveren van 20.000 euro.

Ten slotte is de grote vraag wie deze uitgebreide nieuwe wetgeving gaat handhaven. Het jaarverslag van de Autoriteit Persoonsgegevens rapporteert zelf dat een extern adviesbureau heeft berekend dat het aantal medewerkers ongeveer moet verdrievoudigen om goed toezicht te houden. De regering heeft in september 2017 het budget ongeveer verdubbeld. Dit is dus niet genoeg, gegeven de gewenste verdrievoudiging van het aantal medewerkers. De vraag is dus of toezicht en handhaving van de nieuwe wet echt serieus opgepakt kan worden. Afgezien van de vraag of experts op dit gebied met ook verstand van zaken als big data wel meteen te vinden zijn.

Kleine spelers

Ik zou er in ieder geval voor willen pleiten om voorlopig de kleine spelers met rust te laten en de beschikbare toezichtcapaciteit te gebruiken om privacy-implementaties bij grote instellingen en bedrijven te controleren. Als daar iets misgaat (bijvoorbeeld een datalek bij een grote bank of verzekeraar) heeft dat potentieel grote gevolgen voor de maatschappij. De gebeurtenissen rond Facebook laten zien dat juist dit soort toezicht bij grote bedrijven heel belangrijk is.

Bij handhaving bij kleine partijen kan ook gewerkt worden met een waarschuwingssysteem, waar men bij constatering van fouten nog bijvoorbeeld een jaar de tijd krijgt om zaken aan te passen. We moeten oppassen dat deze regelgeving kleine en middelgrote bedrijven, (digitale) start-ups en verenigingen niet onnodig in de problemen brengt.

Peter Verhoef is hoogleraar Marketing aan de Rijksuniversiteit Groningen en directeur van de University of Groningen Business School

Je kunt deze onderwerpen volgen
Meningen
Opinie