Zou de GGD de enige zijn…?

(Column) Heel Holland loopt te hoop. De GGD is een club criminelen die al jouw (medische en persoonlijke) gegevens aan de hoogst biedende verkoopt. Dat was zo ongeveer de teneur na het ‘missertje’ van de GGD afgelopen periode. Tja, hoge bomen…

Het valt niet goed te praten. Sterker nog, het is een miskleun van jewelste. Maar dat schijnt in Haagse kringen wel vaker voor te komen, missertjers met data of persoonsgegevens. Of manipulaties met data. Of manipulaties met algoritmen die weer manipuleren met data. Niettemin, het zal vast geen privilege van de Haagse politiek en aanverwante kringen zijn. Of denkt u van wel? Denkt u dat het Nederlandse Bedrijfsleven BV haar zaakjes wél op orde heeft?

Dan vraag ik me af waarop dat vertrouwen is gebaseerd. In de zomer van 2016 konden we al peentjes zweten bij het idee dat in 2018 de GDPR (voor Nederlanders de AVG) daadwerkelijk van kracht en gehandhaafd zou gaan worden. Twee jaar lang konden we bezig zijn met het op orde brengen van onze data en de manier waarop we ermee om zouden gaan in de toekomst. Zomer 2018 konden we weer peentjes zweten; nu vanwege het idee dat we misschien betrapt zouden kunnen gaan worden op een misser in de ‘persoonlijke sfeer’, met forse boetes. We werden als onschuldige burgers/consumenten al lekker gemaakt met de wetenschap dat overtreders van die GDPR/AVG boetes opgelegd zouden kunnen krijgen van 4% van de wereldwijde omzet, tot een maximum van 20 miljoen euro. Ik ken bedrijven waar dat dan nog aardig zou oplopen. Goed voor de schatkist. Kunnen we die diepe zakken weer een beetje vullen in deze barre tijden.

Maar wie heeft er berichten gezien van dergelijke ‘abjecte en infame boetes’? Ik niet. Niet zó veel in ieder geval. Er zijn er wel (bron: Autoriteit Persoonsgegevens): het Haga Ziekenhuis (460.000 euro voor slechte beveiliging patiëntendossiers), Uber (600.000 euro voor te laat melden datalek), de KNLTB (525.000 euro voor verkoop ledengegevens), ‘een bedrijf’ (725.000 euro voor afnemen vingerafdrukken personeel), de BKR (830.000 euro voor inzage verlenen) en de meest recente boete, het OLVG (440.000 euro voor slecht beveiligde patiëntendossiers). Het zijn leuke bedragen, maar een deel ervan komt toch uiteindelijk neer op (indirect) belastinggeld. Dan zijn er ook nog wat ‘lasten onder dwangsom opgelegd door de AP, bijvoorbeeld aan een aantal verzekeringsmaatschappijen, het UWV en de Nationale Politie. In de meeste gevallen werd de overtreding op tijd gestopt of werd slechts een kleine som geld geïncasseerd. De genoemde overtredingen gaan over de periode van 2018 tot nu.

Betekent dat, dat er verder geen overtredingen zijn geweest? Of betekent het dat die overtredingen niet zijn gesignaleerd en gemeld? Als je op zoek gaat op de site van de AP zijn er niet bepaald pagina’s lange lijsten met overtreders. Kan me niet voorstellen dat er niet méér is gebeurd… Zou bijvoorbeeld bij al die mobiliteitsaanbieders de zaak vlekkeloos verlopen met al die berijdersgegevens? Als ik zelf al een mail krijg om te melden dat het tijd is voor het jaarlijks onderhoud van mijn auto en daarbij wordt de exact juiste km-stand vermeld (die ongeveer de helft is van wat die zou moeten zijn, omdat er nu eenmaal bijna geen fysieke afspraken zijn in deze tijd…), dan heb ik zo mijn twijfels.

Of zijn we nu al AVG-moe? Reden voor een onderzoekje. Dat gaan we dus binnenkort doen. Wordt vervolgd.

PS Wat is eigenlijk de wereldwijde omzet van de Belastingdienst?
PS2 Waar gaat die boete heen? Naar ons toch?

John de Waard