Het blijft aanmodderen met de General Data Protection Regulation, ofwel de Algemene Verordening Gegevensbeveiliging waarmee de Europese Commissie en het Europees nepparlement haar burgers en bedrijven heeft opgezadeld. Terwijl alles en iedereen met dit monstrum van een regelgeving wordt opgezadeld, voldoet de heersende elite in Brussel er zelf helemaal niet aan. Maar ook dáár hebben ze een oplossing voor gevonden.
We hebben er al een tijdje op gewezen dat, hoe goedbedoeld de GDPR ook
mag zijn (in de ogen van het EU-nepparlement), en hoe belangrijk het
algemene concept van het beschermen van persoonlijke gegevens van
gebruikers ook is, dat maakt de GDPR nog steeds niet minder
belachelijk. We hebben er zelfs op gewezen dat de opstelling van de
GDPR van dien aard is dat het een regelgevende nachtmerrie wordt,
omdat de nalevingskosten hoog zijn en de regels zó vaag zijn dat het
aansprakelijkheidsrisico hoog blijft. We weten dat sommige politici
blijven volhouden dat de vereisten om compliant te zijn niet zo
moeilijk zijn. Inderdaad, EU-commissaris Vera Journova beweerde
onlangs nog dat het voldoen aan de GDPR zo eenvoudig was dat
zij het zelfs kon doen.
Toen hij daar lucht van kreeg vroeg softwaretechnicus Matthias Gliwka
zich af of de EU zich inderdaad aan haar eigen "zo eenvoudige"
GDPR-regels hield. Blijkt: niet zo veel. Zoals Gilwka opmerkte, lijkt
de eigen website van het Europees nepparlement de GDPR te schenden.
Het kostte me minder dan vijf minuten om een
overtreding te ontdekken: op de website van het EU-parlement wordt
Google Analytics gebruikt om de bezoekers te volgen zonder de nodige
anonimiserings-IP-flag, waardoor Google het volledige IP-adres opslaat
zonder het laatste octet te anonimiseren. U kunt zelf een kijkje nemen
door de broncode van deze pagina te controleren (gearchiveerde
versie voor het geval deze in de tussentijd wordt
hersteld).
Dit is een overtreding van de GDPR, aangezien de persoonlijke gegevens
(het IP-adres) in combinatie met analysegegevens op de servers van
Google worden opgeslagen zonder toestemming of een andere wettelijke
basis.
Oeps. We vinden het natuurlijk leuk om het EU-nepparlement op haar
eigen tekortkomingen te betrappen, maar we willen hier vooral het feit
benadrukken dat wanneer politici en regelgevers erop staan dat
bepaalde regels "gemakkelijk" zijn om aan te voldoen, ze vaak geen
idee hebben waar ze het over hebben - en de GDPR is hiervan een goed
voorbeeld.
En ten aanzien van bovengenoemd voorbeeld: Google Analytics is hèt
prototype van use-tracking!
En dan nog wat: al deze veranderingen zitten nu zo'n twee jaar in de
pijplijn, maar toch konden degenen die het al die tijd dóórdrukten
niet de moeite nemen om te controleren of ze zèlf in overeenstemming
handelden met hun eigen regels?
Zojuist vertelden we dat EU-commissaris Vera Journova beweerde dat het
voldoen aan de GDPR zo eenvoudig was dat zelfs zij
het kon. Maar nu we weten dat het EU-nepparlement haar zaakjes niet
voor elkaar heeft, zou het u dan ook verbazen dat de Europese
Commissie ook niet voldoet aan de GDPR? Blijkbaar had ze het zo
druk met de bewering dat het gemakkelijk was om eraan te voldoen, dat
Journova de Commissie vergat te vertellen dat ook zij daaraan moesten
voldoen.
In het bijzonder ontdekte Jason Smith van de website
Indivigital
dat op
verschillende plaatsen van EU-websites spreadsheets worden gehost met
persoonlijke informatie over veel mensen die evenementen hebben
bijgewoond en die informatie tonen zonder dat daarvoor toestemming is
verleend (in het rapport werden ook verschillende GDPR-schendingen met
betrekking tot cookies van derden vastgesteld).
Eén van de spreadsheets is gepubliceerd door
de Europese Autoriteit voor voedselveiligheid (EFSA) en toont
persoonlijke gegevens van 101 personen die deelnamen aan de
"Scientific Colloquium Series" in november 2013. De gegevens omvatten
achternamen, voornamen, e-mailadressen, postcodes, adressen, steden,
telefoonnummers, mobiele telefoonnummers en faxnummers van de personen
die in het document worden vermeld.
Kwalijke zaak. Het is al erg genoeg, maar de Europese Commissie heeft
nog iets veel ergers gedaan. Na het anderen opzadelen met de GDPR,
erop aandringend dat het gemakkelijk was om er aan te voldoen, maar
het dan niet zelf te kunnen... wat vindt u dan van de reactie van de
Europese Commissie op dit alles?
Haar reactie is dat de GDPR
niet van toepassing
is op de
Europese Commissie. Serieus:
Dit lek zou normaal gesproken in strijd zijn met de Algemene
Verordening Gegevensbescherming (GDPR) als andere organisaties het
zelf hadden gedaan. Echter, een woordvoerder van de Commissie
heeft meegedeeld, zich baserend op "juridische redenen", dat Europese
instellingen zijn uitgesloten van de GDPR.
Om "juridische redenen."
In de afgelopen paar maanden is gebleken dat bijna elk startup-bedrijf
geen idee heeft of ze daadwerkelijk aan de GDPR-regels voldoen.
Daarnaast hebben nogal wat bedrijven belachelijke bedragen uitgegeven
aan advocaten en zelfbenoemde GDPR-experts, maar hebben werkelijk nog
geen idee hoe de GDPR in de praktijk zal uitpakken.
Dat is geen goed recept voor innovatie. Noch, eerlijk gezegd, is het
een goed recept om uw gegevens te beschermen. Ongeacht hoeveel u denkt
dat de GDPR betekent dat websites uw gegevens beter zullen beschermen,
het is niet bijzonder nuttig wanneer naleving van de regels zowel duur
als onduidelijk is. Dat de eigen website van het Europees nepparlement
dit niet kon achterhalen, is slechts een lichtend voorbeeld van de
reden waarom de GDPR zo'n probleem is.
We hebben het vaker gezegd: de nadelen van GDPR worden niet gevoeld
door Google en Facebook en de andere internetreuzen die politici die
de GDPR aanmoedigen, vaak aanwijzen. In plaats daarvan raakt het
vooral en in principe kleinere sites,
echt heel erg. Google en
Facebook vinden het prima. Zij kunnen de GDPR wel aan. Hun
concurrenten met moeite of helemaal niet.