De AVG, de Sleepwet, het Cambridge Analytica-schandaal. Privacy en privacybescherming zijn tegenwoordig alledaagse gespreksonderwerpen. Niet alleen aan de keukentafel, maar ook aan de bestuurstafel. Organisaties ervaren de effecten van de AVG. Tegelijkertijd maken mensen in de rol van consument of burger zich zorgen om hun persoonsgegevens. We staan aan de voet van een nieuw privacytijdperk. De technologische vooruitgang die de huidige tijd kenmerkt, vraagt de maatschappij, organisaties en individuen stelling te nemen ten aanzien van privacybescherming. Daarmee is privacybescherming een onderwerp dat iedereen aangaat.
“We leven niet in een tijdperk van veranderingen, maar in een verandering van tijdperken”; hoogleraar transitiekunde Jan Rotmans weet de huidige periode treffend te duiden [1]. Een verandering van tijdperk houdt volgens Rotmans in dat er grote ommezwaaien plaatsvinden binnen zowel de maatschappij als organisaties. Individuen in de rol van consument of burger spreken daarbij meningen vaker en sterker uit en verenigen zich op basis van gedeelde overtuigingen om invloed uit te oefenen. Sociale, technologische en politiek-juridische ontwikkelingen hebben daarnaast ingrijpende gevolgen voor mensen en organisaties en de wijze waarop zij zich tot elkaar verhouden. Aangezien we leven in een tijdperk waar alles digitaal is en we aan de lopende band persoonlijke gegevens uitwisselen, is privacy een belangrijk maatschappelijk onderwerp.
Bij privacy hoort ook het onderwerp privacybescherming. Dat thema staat inmiddels goed op de kaart. Onder andere door een reeks aan ontwikkelingen die breed zijn besproken in de media. In maart dit jaar voerden veel Nederlanders actie tegen de zogenoemde ‘Sleepwet’. Dezelfde maand brak het dataschandaal uit rondom Facebook en het inmiddels beruchte Cambridge Analytica. Niet veel later, op 25 mei van dit jaar, ging de nieuwe privacywetgeving van kracht: de Algemene Verordening Gegevensbescherming (AVG). In het Engels ook wel bekend onder de noemer ‘General Data Protection Regulation’ (GDPR). Met deze opvolgende momenten groeit de maatschappelijke bekendheid met het onderwerp. Voor organisaties ligt hier de opgave de handschoen op te pakken. Niet alleen vanuit een wettelijk kader, maar juist ook vanuit maatschappelijk belang. Privacybescherming kan door organisaties worden opgevat als een risico en beperking, maar ook als kans om mee te gaan in de vaart der volkeren en aan te sluiten bij ‘shared values’ die leven bij een breed deel van de maatschappij.
Sinds de AVG van kracht is, zijn alle organisaties die persoonsgegevens verwerken, wettelijk verplicht om hun databoekhouding op orde te brengen én te houden. Organisaties behoren volgens de wet aan te kunnen tonen welke gegevens zij verwerken. Ook moeten zij kunnen beargumenteren waarom zij die gegevens nodig hebben. Daarnaast hebben zij passende maatregelen te treffen om deze persoonsgegevens goed te beschermen. Het onderwerp stond dan ook de afgelopen periode op de agenda van menig directie- en managementteam.
Voor veel organisaties was het voldoen aan de verplichtingen die voortvloeien uit de AVG een race tegen de klok. Er werd reikhalzend uitgekeken naar het moment dat de organisatie zogenoemd ‘compliant’ werd. Op 25 mei zou het werk verzet moeten zijn. Inmiddels weten we uit een waslijst aan mediaberichten dat zowel overheid als bedrijfsleven nog niet klaar zijn met de AVG. Veel organisaties zijn nog volop bezig om maatregelen te treffen waarmee zij aan de minimale vereisten van de privacywet kunnen voldoen. Bij andere organisaties, die met man en macht hebben gewerkt aan de AVG-compliance, is de opluchting voelbaar dat het AVG-proces ‘achter de rug’ is. En dat is een gemiste kans, want de AVG is meer dan een verplichting.
Voldoen aan de AVG betekent niet dat een organisatie de fictieve finishline behaalt. Nieuwe gegevens, systemen, technologieën en werknemers zorgen ervoor dat privacybescherming een doorlopend proces is voor iedere organisatie. Organisaties hebben om te kunnen voldoen aan de vereisten van de AVG de afgelopen periode de focus met name gelegd op het nemen van passende organisatorische en moderne technische maatregelen. Nu gaat het echter om gedrag. Gedrag van organisaties. Gedrag, zodat binnen organisaties op een juiste wijze met persoonsgegevens wordt omgegaan. Want dat wordt de nieuwe norm. Wat goed en juist is, wordt daarbij niet meer bepaald door een organisatie, maar door de maatschappij. De AVG is daarbij een eerste stap.
De AVG is slechts een reactie op de veranderende werkelijkheid. We zijn een nieuw tijdperk binnengestapt als het aankomt op de manier waarop we met persoonsgegevens omgaan. De wet die nu in de spotlight staat, is slechts een gevolg van een grotere maatschappelijke ontwikkeling; namelijk die van een groeiend bewustzijn rondom privacy in een tijd van technologische vooruitgang. Tot voor kort maakten we ons niet zoveel zorgen over privacybescherming. Er is echter een paradigma shift gaande; we beseffen dat de aarde niet plat is, maar rond. Geen leuke ontdekking voor onze eigenwaarde, maar wel een zinvolle. De quote “If you’re not paying for the product, you are the product” horen we in dat kader regelmatig langskomen. Een ander opmerkelijk fragment dat de verandering van ons collectieve bewustzijn rondom privacy markeert, is het iconische vraaggesprek tussen senator Orrin Hatch en Mark Zuckerberg bij de hoorzitting van de Senate Judiciary and Commerce Committee op Capitol Hill eerder dit jaar. De opvattingen over privacy veranderen dus rap in onze maatschappij.
Privacy- en gegevensbescherming komen ook met toenemende regelmaat terug in ons dagelijkse leven. Gesprekken op straat, in de bedrijfskantine en aan de keukentafel gaan over dit onderwerp. We staan door de toegenomen aandacht voor het onderwerp stil bij de wijze waarop organisaties omgaan met onze persoonsgegevens; “Wat gebeurt er met de informatie die ik op social media plaats? Wil ik mijn persoonsgegevens eigenlijk wel op dit formulier invullen? Hoe weet ik dat mijn gegevens niet worden doorverkocht? Kan ik deze organisatie überhaupt mijn gegevens wel toevertrouwen?” Het zijn reële vragen waarmee mensen worden geconfronteerd.
Onderzoek van DDMA toont aan dat twee op de drie Nederlanders zich dit jaar meer zorgen maakt over zijn of haar online privacy dan vorig jaar [2]. Niet alleen in Nederland zien we deze zorgen bij de burger en consument. Andere Europese landen scoorden hier zelfs nóg hoger op bij het onderzoek. Meer dan de helft van de respondenten geeft bij het onderzoek van de DDMA aan het gevoel te hebben dat ze geen controle kunnen uitoefenen over de informatie die bedrijven van hen verzamelen. Dat staat in schril contrast tegenover de 80 procent die aangeeft wel deze controle te willen hebben. Daarbovenop komt het feit dat slechts drie procent van Nederlanders denkt dat de huidige gegevensuitwisselingen in het voordeel van de consument zelf zijn. En dat terwijl zo’n 80 procent denkt dat bedrijven hier juist van profiteren. Dat voelt dus niet als een juiste balans. Zie hier een flinke gap tussen hetgeen organisaties leveren en hetgeen de maatschappij vraagt.
Het feitenrelaas gaat verder dan het onderzoek van de DDMA. Uit een ander relevant onderzoek van Kaspersky Lab blijkt dat de helft van Nederlanders zich ongemakkelijk voelt bij het delen van locatiegegevens met websites en applicaties [3]. Twee jaar geleden was dit nog één op de drie Nederlanders. We maken ons dus in toenemende mate zorgen over onze privacy. Handelen we ook daarna? Nog niet geheel. Uit hetzelfde onderzoek blijkt dat we vrijwel nooit de moeite nemen om eenvoudige beveiligingsmaatregelen zoals bijvoorbeeld app-instellingen inschakelen waarmee we onze gegevens zorgvuldiger beschermen. Gezamenlijk zeggen we dus wel dat privacy belangrijk is, maar doen we eigenlijk weinig om onszelf te beschermen. Dit wordt ook wel de ‘privacy paradox’ genoemd: ‘A’ vinden, maar ‘B’ doen. Neem bijvoorbeeld het feit dat slechts 11 procent van Nederlanders aangeeft social media te vertrouwen bij de uitwisseling van hun gegevens [2]. Maar tegelijkertijd heeft Nederland met 72 procent wel de hoogste social media-penetratie van Europa [4].
De crux ligt bij de vertrouwensband tussen mens en organisatie. Het onderzoek van DDMA laat duidelijk zien dat ‘vertrouwen in een organisatie’ met afstand het belangrijkste motief is voor Nederlanders om hun gegevens te delen [2]. Ook heeft de wijze waarop organisaties met gegevens omgaan en daarover verantwoording afleggen een toenemende invloed op de keuzes die mensen maken. Volgens onderzoek van IBM is dit gegeven zelfs van groter belang bij aankoopkeuzes van consumenten dan het MVO-beleid of het leiderschap van een organisatie [5]. Organisaties die het maatschappelijk belang van privacybescherming inzien en hiernaar oprecht handelen, slaan dus een brug en weten het vertrouwen van stakeholders te winnen.
De ‘shared value’-gedachte gaat ervan uit dat de kracht van een organisatie en het welzijn van haar stakeholders direct met elkaar verbonden zijn. Mensen verbinden zich graag met organisaties die betekenisvol bijdragen aan het oplossen van maatschappelijke vraagstukken. Privacybescherming is één van die vraagstukken en is dus een relevant vraagstuk voor organisaties. Niet alleen vanuit wettelijk kader, maar dus juist ook vanuit maatschappelijke verbondenheid.
Maatschappelijke betrokkenheid van organisaties is hard nodig op het gebied van privacybescherming. Organisaties die als eerste deze verbinding weten aan te gaan, bevinden zich nu nog enigszins in een ‘blauwe oceaan’ en hebben kansen om zich krachtig op dit onderwerp te onderscheiden, het onderwerp aan zich te verbinden, van waarde te zijn en impact te hebben op de maatschappij.
Uit toonaangevend onderzoek blijkt dat organisaties die zelf actief stelling nemen bij maatschappelijke issues succesvoller blijken te zijn dan organisaties die dat niet doen. De organisaties die hierbij oprecht het voortouw nemen rondom een maatschappelijk thema en hierop ‘goed burgerschap’ vertonen, verkrijgen hierbij een voorkeurspositie van hun stakeholders. De key findings van de Reptrak 2018, hét wereldwijd toonaangevende onderzoek op het gebied van reputatie, bevestigen dit. Dichter bij huis blijkt de helft van alle Nederlanders meer vertrouwen te hebben in een organisatie wanneer deze laat zien een positieve bijdrage te leveren aan milieu, maatschappij en welzijn (Dossier Duurzaam 2017, een onderzoek uitgevoerd door GfK). Organisaties die op een juiste wijze de handschoen oppakken rondom het maatschappelijk thema privacybescherming, kunnen hierdoor dus een voorkeurspositie verkrijgen bij hun stakeholders. Zie daar de winst voor maatschappij en organisatie.
Het is dus tijd voor organisaties om hun verantwoordelijkheid op te nemen. Digitale vooruitgang gaat gepaard met consequenties ten aanzien van privacy. Daarvan zijn we als maatschappij inmiddels doordrongen. Die consequenties hebben effect op onze samenleving en de wijze waarop we samenwerken en informatie uitwisselen. De AVG is daarbij een stap richting het beoogde doel: een zorgvuldige verwerking van persoonsgegeven tussen mensen en organisaties waarbij alle belangen worden behartigd. Een wet met overigens veel open normen, die gericht is op een toekomst vol privacykwesties.
Organisaties worden in deze tijd dus gedwongen privacyoverwegingen te maken. Want consumenten en burgers worden zich steeds meer bewust van het belang van een goede privacybescherming. Privacyvraagstukken blijven dus actueel. Om het populair te zeggen: “Privacy is here to stay”. De aandacht voor dit onderwerp zal niet afnemen. Het is aan organisaties de maatschappelijke verandering en dit maatschappelijke thema te omarmen. Organisaties die een concrete handreiking doen naar de maatschappij en het vertrouwen weten te verdienen op het gebied van privacybescherming, helpen de maatschappij én zichzelf. Het veranderende privacytijdperk heeft maatschappelijke betrokken organisaties nodig. Een boodschap die we vooral niet privé moeten houden, maar luidkeels publiekelijk mogen maken.