Wat is er na twee maanden AVG/GDPR veranderd?

Het is inmiddels twee maanden geleden dat de implementatie periode van twee jaar voor de AVG/GDPR afliep. Sinds 25 mei moet iedereen die iets doet met EU persoonsgegevens zich aan deze verordening houden. De Duitse tech uitgever Heise stond daar uitgebreid bij stil. ISP Today doet verslag van die videocast.

Een uur lang kijken naar een Duitse videocast is niet de favoriete hobby van elke ISP Today lezer. Ook als het om een onderwerp gaat dat de hosting sector aangaat. ISP Today heeft tijd vrijgemaakt en gehoord hoe twee redacteuren en de huisjurist van uitgeverij Heise tegen het onderwerp aankijken. De drie kozen daarvoor meerdere voorbeelden. Zo werd er gereageerd op het schijnbare verbod om nog foto’s van kinderen te maken en online te zetten en de talrijke cases van ziekhuizen en huisartsenpraktijken die sinds mei volhangen met verbodsborden die allemaal iets met de AVG/GDPR te maken zouden hebben.

Om met dat punt te beginnen: dat heeft niets met de AVG te maken. Sinds 25 mei is men zich opeens bewust dat er jarenlang andere wetgeving aan de laars is gelapt. Om foto’s van andermens kinderen online te plaatsen was immers altijd al toestemming van de ouders of verzorgers nodig en wat er bij artsen aan data wordt verzameld en deels slecht wordt opgeslagen is ook al langer een punt van zorg (en bron van datalekken).

Het blog sterven en de AVG

Wat voor hosters zakelijk gezien natuurlijk veel interessanter is, is de constatering van de drie Heise medewerkers dat het aantal websites en blogs dat inhoud biedt eind mei fors is afgenomen. Blogs in het Duitstalige gebied van de lokale hobbyclubs zijn net als websites van gemeentewerken en bedrijven rond 25 mei op grote schaal op zwart gegaan “wegens onderhoud”. Dat is in Nederland veel minder waargenomen. Hier heeft men ofwel de boel voor 25 mei geregeld of men heeft nog steeds niet door dat er wat is veranderd.

Heise constateert verder dat een fors deel van de websites die “tijdelijk” offline waren niet meer zijn teruggekomen. Veel exploitanten zijn geschrokken van de achterstand die ze hebben en voelen er weinig voor uren te moeten spenderen aan het opzetten van een deugdelijke privacy verklaring. Opvallend daaraan is dat iedere hobbyclub, overheidsdienst of ondernemer daar al veel eerder over had kunnen en moeten nadenken.

De beslissing de boel op zwart te zetten heeft naast het ontbreken van zin of tijd een privacybeleid te maken (waarvoor we hier in Nederland goed werkende generators hebben) ook nog met iets anders te maken. Dat is de onmogelijkheid om aan de AVG te voldoen. Heise wijst op een sites die gebruik maken van cookies en andere third party trackers waarvan duidelijk is geworden dat die niet AVG compliant zijn. Als daar het businessmodel de site op draait is er een onoverkomelijk probleem. Letterlijk vertaald spraken ze zonder enige sarcasme van “het grote blog sterven”.

Verjaardagskaartje

Iets dat ook tijdens de videocast ter sprake kwam en dat voor Nederlandse hosters van belang kan zijn is wat we hier noemen het begrip “doelbinding”. Iemand die een webshop runt en daarvoor klantgegevens verzamelt kan om de geboortedatum van zijn klanten vragen. Hij heeft op die manier de betrekkelijke zekerheid aan een meerderjarige te leveren. Een case die door de AVG in Duitsland naar voren is gekomen gaat over een webshop die de geboortedatum gebruikt om de klanten verjaardagskaartjes te mailen. Dat klinkt onschuldig en sympathiek, maar het is niet de bedoeling van het verstrekken van de geboortedatum geweest. En voor alle duidelijkheid: er zijn hosters in Nederland die ook de geboortedatum van de klant vragen om zeker te weten met een meerderjarige zaken te doen. Als dat eenmaal is vastgesteld is er geen reden meer die data te bewaren. Slechts weinigen staan daar bij stil.

Het begrip dat de sprekers bij deze case gebruikten is sensibilisering, het “[…]bewust maken van of gevoelig maken voor een bepaald probleem”. In deze context wordt daarmee bedoeld dat sinds 25 mei consumenten en aanbieders van allerlei diensten meer vragen zijn gaan stellen over wat er wel en niet met data mag gebeuren. Dat is in lijn met wat de EU wenste te bereiken met de AVG.

Er zijn overigens twee punten die los staan van de sensibilisering en die ook voor de Nederlandse IT sector nog onbeantwoorde vragen zijn: is het blog sterven een blijvertje en wat staat er nog te gebeuren. De Heise redactie zat daar op dezelfde lijn als de kenners die ISP Today en Channel Connect daar over spreken: nog steeds is een groot deel van de ondernemers, overheden en verenigingen niet AVG compliant.