Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht in Nederland. Vanaf die datum mogen organisaties persoonsgegevens alleen voor een bepaald, uitdrukkelijk omschreven doel verwerken, terwijl alleen de persoonsgegevens die nodig zijn voor dat doel mogen worden verwerkt.

Organisaties moeten kunnen bewijzen dat hun klanten expliciete toestemming hebben gegeven om hun persoonsgegevens te verwerken en dat zij hebben begrepen wat er met hun gegevens gebeurt. Waar persoonlijke data worden verwerkt voor direct marketing hebben consumenten ten alle tijde het recht om bezwaar te maken tegen de verwerking van hun gegevens voor directmarketingdoeleinden evenals tegen profilering. Consumenten krijgen een verbeterd recht op overdraagbaarheid van hun persoonlijke gegevens (dataportabiliteit) van het ene platform naar het andere (van bijvoorbeeld Whatsapp naar Telegram of vice versa). Ten slotte zijn organisaties verplicht om alle gegevens van een klant te verwijderen als de klant daar om vraagt.

De verplichting om datalekken onmiddellijk te melden bestaat in Nederland al sinds 1 januari 2016. Het niet nakomen van verplichtingen – zoals het melden van een datalek – kan een boete opleveren
van maximaal € 10 miljoen of een boete van 2% van de wereldwijde jaaromzet (mocht dit bedrag hoger uitkomen). Bij het niet nakomen van beginselen of grondslagen dan wel privacyrechten van de mensen van wie de organisatie gegevens verwerkt, kan de boete zelfs maximaal € 20 miljoen bedragen of 4% van de wereldwijde jaaromzet (mocht dit bedrag hoger uitkomen).

De AVG geldt voor alle organisaties die gegevens verwerken, dus ook voor kleine mkb’ers en zzp’ers die van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie digitaal bijhouden. Dat is dus goed opletten! Organisaties kunnen zelfs worden verplicht om een functionaris voor de gegevensverwerking aan te stellen. Al met al is de AVG een stevige regelgeving, goed bedoeld maar duidelijk wel bedacht op hoofdkantoorniveau. Maar zou het niet belangrijk zijn om nu de consumenten wat meer bewust te maken van de eeuwigheidswaarde van alles wat ze zelf digitaal de wereld insturen.

Nu het bedrijfsleven zo stevig wordt aangepakt, lijkt het me logisch dat consumenten terughoudend zullen zijn in het rondbazuinen van hun eigen privacy. Waarom moeten ondernemingen anders zo voorzichtig zijn? Wie schrijft die blijft. Wie iets op internet schrijft heeft de zoete zekerheid dat het geschrevene tot in de eeuwigheid zal blijven bestaan. Hoe verbazingwekkend is de nonchalance waarmee volksstammen alle mogelijke privézaken digitaal de wereld insturen. Naast relatief onschuldige vakantiefoto’s van verre landen en mooie uitzichten, worden probleemloos afbeeldingen waaraan men wellicht later helemaal niet meer herinnerd wil worden geüploaded. In de teksten is een spectrum waar te nemen van bemoedigingen en gelukwensen tot en met grove scheldpartijen en onoorbare beledigingen. Hoewel velen het zich wellicht niet realiseren zijn sites als Facebook niet opgericht om het de burgers aangenaam te maken met het elkaar op de hoogte houden, maar om het verzamelen van de data van alle facebookgebruikers. Data die heel erg waardevol zijn en voor veel geld aan geïnteresseerden worden verkocht.

Actieve voorlichting over de ins en outs van met name social media met als doel een veel terughoudender gebruik daarvan is complementair aan de AVG. HR heeft hierin een taak. Het wordt anders net zo zot als met geluidshinder: in de fabrieken de meest dure geluidswerende maatregelen om gehoorschade te voorkomen, terwijl de in de vrije tijd in de disco de decibellen onbeperkt zijn toegestaan waarbij de werkgever uiteindelijk opdraait voor de kosten van een werknemer die door gehoorschade minder arbeidsgeschikt raakt.