Wet is wet

 

Afbeelding via Pixabay

“Carprof en AA-team maakt gebruik van de AVG (Algemene Verordening Gegevens-bescherming)”, stond in de brief van de garage. Ik schoot in de lach toen ik dit las. “Maakt gebruik van”.

Ze zullen het wel niet zo bedoeld hebben, maar ze hebben het wat ongelukkig opgeschreven. Net als alle wetgeving is ook de privacywetgeving geen snoepwinkel waar je alleen de snoepjes die jij het lekkerst vindt in de zak gooit. Evenmin kun je de AVG links laten liggen, of inruilen voor bijvoorbeeld de privacywet van Guatemala (een zuiver willekeurig voorbeeld).   

Het bijzondere van de AVG is dat het geen nationale wet is – zoals haar voorganger, de Wet bescherming persoonsgegevens (Wbp), dat wel was – maar een Europese (excuses als de aanduiding ‘wet’ theoretisch-juridisch niet klopt, maar het gaat erom dat het regels zijn waaraan je je moet houden en zo niet kun je straf krijgen).

Ik heb het hier al eens gehad over een Griekse autoverhuurder die snapte dat ik mijn gegevens na afloop van de huurperiode verwijderd wilde hebben én daar een formulier voor had. En dit jaar viel mij op dat ze er zelfs in Italiaanse hotels niet raar van opkeken dat ik niet onze paspoorten inleverde, maar slechts kopieën ervan. In Italië moet je altijd in een register worden ingeschreven en dat doen ze aan de hotelreceptie eigenlijk nooit à la minute – en dus willen ze je paspoort een tijdje houden.

Dit jaar namen ze dus genoegen met een kopie. Ik had voor de zekerheid een heel stapeltje kopieën meegenomen, maar ik kreeg alles weer netjes terug en had dus kunnen volstaan met één setje. Op die kopieën had ik onze BSN’s onleesbaar gemaakt (staat in de onderste tekstregels) en over de foto’s de tekst ‘Copy’ geschreven. Overigens viel mij op dat in de gloednieuwe paspoorten van de kinderen het BSN niet meer op de voorkant van de fotopagina staat. Dat is een goede aanpassing, die helemaal in lijn is met het AVG-uitgangspunt van dataminimalisatie: niet méér data opnemen dan nodig is voor het beoogde doel.

Wat wilde dat garagebedrijf me nou eigenlijk vertellen met dat wat ongelukkige zinnetje? Dat ze gegevens van mij hebben en dat ze daar netjes – conform de wet – mee omgaan. En dat ze er dus geen gekke dingen mee doen, zoals doorverkopen aan een advertentiebedrijf. Dat ze me zélf af en toe een foldertje toesturen, is inherent aan de zakelijke relatie die ik met ze heb (denk ik).

Qua reclame is er trouwens wel iets geks aan de hand. Ik heb mijn auto vijf jaar geleden gekocht bij de plaatselijke Mitsubishi-dealer. Dat bedrijf is sinds een paar jaar geen officiële Mitsubishi-dealer meer; ze werken nu onder het label Carprof. Een paar honderd meter verderop woont de nieuwe officiële Mitsubishi-dealer. En die stuurt mij ook post, waarin hij het type, kenteken en bouwjaar van mijn auto vermeldt, compleet met het bedrag dat hij voor die auto overheeft als ik bij hem een nieuwe koop. Terwijl ik nog nooit bij dat bedrijf over de vloer ben geweest. Kennelijk kan een automerk mijn gegevens opvragen puur omdat ik een auto van dat merk heb.

Autobedrijven lijken die gegevens te koesteren en (dus?) niet op te schonen. Ik ontving nog jarenlang post van Peugeot, mijn vorige automerk. Totdat ik ze vroeg om daarmee te stoppen. Ook dat is een verworvenheid van de AVG: als je daarom vraagt, dan moet een bedrijf jouw gegevens weggooien. En nee, dat gaat niet op als je nog lopende verplichtingen aan dat bedrijf hebt.

Een bedrijf kan er niet voor kiezen om gebruik te maken van de AVG; ze hebben er gewoon aan te voldoen. Jij als particulier kunt wél gebruikmaken van de AVG. Door je rechten te kennen en ze toe te passen. Bijvoorbeeld door inzage te eisen in welke gegevens een bedrijf over jou heeft, foute gegevens te laten corrigeren en gegevens te laten verwijderen. Dat laatste wordt ook wel haast poëtisch aangeduid met ‘het recht om vergeten te worden’. Maar als je houdt van al die aandacht, dan mag je dat gerust zo laten. Niemand die je dwingt om gebruik te maken van de AVG.

 

En in de grote boze buitenwereld …

• vinden ze het gelukkig ook buiten Europa niet zo’n goed idee om oude harddisks door zomaar een bedrijf te laten afvoeren.
• kosten spoofing en vriend-in-noodfraude ons veel geld.
• kost phishing gelukkig soms ook de crimineel geld.
• zijn deze beide professoren fel tegen het gebruik van de public cloud door de Nederlandse overheid.
• zien we steeds vaker voorbeelden van supply chain attacks.
• is het misschien toch niet zo’n goed idee om je zwembad aan het internet te hangen.
• lekte American Airlines klant- en medewerkersgegevens na een geslaagde phishing-aanval.
• moet je altijd goed opletten waar je de komma plaatst.
• verhuist een bedrijf soms vanwege nieuwe wetgeving in een land.
• waarschuwt Windows 11 als je je wachtwoord in een onveilig bestand wilt opslaan.
• is multifactorauthenticatie een belangrijke maatregel, maar geen waterdichte.