Als je veel reist en lang in het buitenland kan verblijven is het leuk om zo op een afstandje het Europese en Nederlandse vak nieuws te lezen en dat af te zetten tegen het lokale vaknieuws. Er gaat geen dag voorbij of de EU General Data Protection Regulation (GDPR) is in het nieuws. Er wordt veel geld uitgegeven aan de GDPR. Maar is dat allemaal wel zo slim? Hoe hard zal die GDPR worden? Wat nu als het niet werkbaar blijkt en de wetgeving wordt afgezwakt?
Met de GDPR moet de consument centraal staan, maar diezelfde consument moet inmiddels een IT & privacy deskundige zijn om de producten die hij koopt door te lichten. Zo zijn er fabrikanten die op vernuftige manieren data verzamelen met methoden die je totaal niet verwacht. Bij de aanschaf van het apparaat of zodra je het apparaat aanzet, ga je akkoord met de kleine lettertjes en start het data verzamelen. Je bent geïnformeerd.
In 2014 al had Samsung de algemene gebruikersvoorwaarden aangepast en kon zo meeluisteren in de huiskamers. Maar kocht de consument er een TV minder om? Pas na klachten paste Samsung de voorwaarden aan. Daarnaast werd Bose begin dit jaar beschuldigd van het verzamelen van gebruikersdata via haar headphones. En kijk maar eens in de trein, bus of winkelstraat hoeveel mensen er met dergelijke headphones op lopen.
Ook verschillende fitnesstrackers en andere gezondheidapps verzamelen allemaal data en als je de gebruikersvoorwaarden leest dan mag die data gebruikt door en verkocht worden aan derden. En wat te denken van de smart devices die opdrachten op voice commando uitvoeren, zoals Amazon Alexa, Google Home of Apple Homepod, of facebook die standaard de microfoon aan heeft staan. Deze apparatuur wordt weliswaar in Nederland verkocht, maar de verbinding en dataverzamelingen zijn direct naar datacenters die waarschijnlijk niet in Nederland of Europa staan. En als consument kun je niet kiezen voor een EU-datacenter-only beleid. Sommige van deze bedrijven hebben niet eens een kantoor in Nederland of Europa.
Dit terwijl banken die klant data willen doorverkopen, het protest van het publiek tegen zich krijgen. Met de GDPR zijn zij dan ook verplicht aan de consument duidelijk te maken wat er met hun gegevens gebeurt, hoewel veel banken zich zorgen maken of zij de deadline, de start van de GDPR wet in mei 2018, wel halen.
Ik denk dat de komende jaren enkel de meld-registratie functie van de GDPR gebruikt zal worden om inzicht te krijgen. Vanuit deze registraties zullen rapportages en menig krantenartikel vloeien om de alertheid bij burgers te verhogen. Maar van boetes zal weinig tot geen sprake zijn. Om de consument enorm op weg te helpen zou, mijns inziens, deze wetgeving moeten voorzien in privacy labeling. Net als de kijkwijzer en de energielabels, zou de wetgeving twee labels moeten introduceren, waarbij duidelijk wordt product of de dienst voldoet aan de EU-wetgeving of niet. Dit zou zo simpel kunnen zijn als twee symbolen met een P en een P met een streep erdoor: wel of niet voldaan aan de privacywetgeving.
Het is dan aan de eindgebruiker om wel of niet voor het product of de dienst te kiezen. Het is voor de consument dan gelijk duidelijk wat de privacy status is. Als de consument massaal kiest voor producten met een label en andere producten en diensten laat liggen komt er misschien verandering bij de leverancier. Hoewel we ook hierbij weten we hoe lang het duurt voordat de borging en acceptatie van het energielabel tot stand kwam en het dus nog wel even kan duren voor een privacylabel geaccepteerd wordt.