De nieuwe privacyregels oftewel Algemene Verordening Gegevensbescherming komt burgers nauwelijks ten goede. Je kunt eenvoudiger dan voorheen cookies weigeren, maar vaak ook niet. Verzoeken om opnieuw te abonneren op nieuwsbrieven beantwoorden abonnees vaak niet, teneinde te snoeien in hun e-mail overvloed. Met privacybescherming heeft dit niets te maken.

Wel gunstig is de AVG voor allerhande verdienmodellen met privacy, zoals rond de Functionaris voor de Gegevensbescherming (FG) die voor veel organisaties verplicht is op grond van de AVG. Gerrit-Jan Zwenne spreekt van een ‘wildgroei van kostbare en opzichtig opgeklopte FG-opleidingen.’ Hij waarschuwde twee jaar geleden al voor dit fenomeen:

'Het is daarom niet heel verrassend dat allerlei cursusaanbieders sinds kort uiteenlopende FG-opleidingen zijn gaan aanbieden…De cursusprijzen liggen tussen de vijfhonderd en vijfentwintig duizend euro(!) Dat zijn forse bedragen, maar dan heb je natuurlijk wel wat. De duurdere cursussen melden opgetogen dat de deelnemer zich na afronding van de cursus ‘Gecertificeerd FG’ of zelfs ‘Certified DPO’ afgekort ‘CDPO’ mag noemen.'

Neem bijvoorbeeld de Duthler Academy van adviesbureau Duthler & Associates, opgericht door VVD Eerste Kamerlid Anne-Wil Duthler die nu ook met First Lawyers actief is in de AVG-markt. De Leergang Functionaris Gegevensbescherming, geleid door Ans Duthler. Prijskaartje: 30 dagdelen a 500 euro, in totaal 15.000 euro ex. BTW’

Ook hier weer de eenvoudige weg van complexe wet en onzekerheid bij organisaties via fraaie termen naar de dure diensten: ‘…wordt gefaciliteerd met een Privacy Seal. Met een Privacy Seal laat een organisatie niet alleen zien dat zij privacybescherming serieus neemt en transparant is over haar volwassenheidsniveau. Zijn laat ook zien dat zij een professioneel opgeleide FG heeft aangesteld. ‘

De AVG zou op zichzelf een verordening moeten zijn die burgers beschermt tegen al te vergaande marketingpraktijken, maar is zelf marketing geworden. Zo biedt Duthler ook Programma Privacy awareness raising. Het klinkt religieus en dat is de AVG-handel ook geworden: een geloof dat verbreid wordt, met een alsmaar zwaarder wordende collecteschaal.

De Autoriteit Persoonsgegevens (AP) certificeert geen FG-opleidingen. ‘De AP laat zich ook niet uit over FG opleidingen. De naam ‘FG’ is niet beschermd’, aldus woordvoerster Lisa Simons op de vraag of er enige controle is op de wildgroei aan aanbod van privacydeskundigheid.

Meer dan 6.000 FG-meldingen

Organisaties moeten hun FG aanmelden bij de Autoriteit Persoonsgegevens (AP). Volgens de woordvoerster zijn er nu bijna 6.200 verwerkte aanmeldingen. Om hoeveel FG’s het gaat, is niet te zeggen. Een FG kan voor meer organisaties werken, en één organisatie kan verschillende FG’s hebben.

Er is geen lijst van. ‘Overigens is de lijst met aangemelde FG’s niet openbaar, en wordt dat ook niet. Bedrijven en instellingen zijn vanaf 25 mei zelf verplicht de contactgegevens van de FG openbaar te maken’, zegt Simons. We kunnen dus niet direct controleren of sommige bureaus voor heel veel organisaties een (externe) FG leveren.

De AP heeft 400 overheden gecontroleerd op de aanstelling van een FG.. Wat was de uitkomst? ‘Op dit moment hebben vrijwel alle overheden een FG. De overheden die deze nog niet hebben aangemeld bij ons, worden of zijn hierover benaderd.’

‘Op korte termijn volgt ook controle van de FG-plicht in andere sectoren’, aldus de AP. Immers, een FG is behalve voor alle overheden en publieke organisaties verplicht voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.

FG niet beschermd

Kan iedereen FG worden? Waaraan moet een FG voldoen? Hoe worden vereisten gecontroleerd? Hoe hard zijn de criteria? Simons: ‘Een ‘FG’ is geen beschermde titel. In theorie zou iedereen zich FG mogen noemen, maar het is de verantwoordelijkheid van een organisatie zelf om een FG aan te stellen met de juiste competenties. Dit komt voort uit artikel 37 van de AVG. Daarin is opgenomen dat een FG wordt aangewezen “op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de taken te vervullen die in artikel 39 van de AVG zijn opgenomen”.

In april 2017 hebben de gezamenlijke Europese privacytoezichthouders aanvullende richtlijnen uitgebracht over de functionaris gegevensbescherming, inclusief deskundigheidsvereisten van FG’s. ‘De AP zal ook kunnen kijken naar de kwaliteit van FG’s. Of naar de wijze waarop zij binnen hun organisatie in staat worden gesteld hun werk te kunnen doen.’

Een FG moet niet alleen de regels kennen maar ook kennis van de organisatie en de sector waarin die actief is. bij een FG die voor veel bedrijven optreedt kan dat volgens professor Zwenne een probleem vormen.

Activisme en advisering

Niet alleen doet de advocatuur goede zaken, allerhande consultants gaan met de AVG aan de haal. Interessant is ook het businessmodel van Privacy First, opgericht door Bas Filippini: enerzijds een activistische organisatie die met lobby en processen de privacyregels zo streng mogelijk probeert te krijgen. En niet zonder succes: Privacy First is een steeds invloedrijker organisatie.

Echter, uit de club vloeit ook een adviespraktijk voort vanuit Privacy First Solutions met als doelstelling het ‘bewegen van organisaties en het bedrijfsleven richting privacyvriendelijk opereren en innoveren.’

Volgens directeur Vincent Böhre van Privacy First bedrijft zijn club geen commercie, maar de mensen erachter: ‘Privacy First Solutions is vooral een overkoepelend project en filosofie van Privacy First om (meer) te denken in termen van oplossingen ipv problemen. Dit omvat al onze activiteiten, van stille diplomatie en politieke lobby tot informatie & advies, acties, campagnes en rechtszaken. “Solutions” is dus geen commerciële adviespraktijk: als BTW-vrijgestelde ANBI mag Privacy First geen commerciële activiteiten verrichten.’

Wel kunnen oprichter Bas Filippini en de medewerkers van Privacy First op eigen titel projecten voor bedrijven en overheden uitvoeren, en doen dit ook. De kennishandel groeit dankzij de AVG. Ze kunnen een deel van de betalingen doneren aan Privacy First.

Waarschuwing tegen keurmerken

De komst van zelf verzonnen keurmerken noopte de autoriteit persoonsgegevens al tot een waarschuwing: er zijn nog geen officieel goedgekeurde keurmerken voor het voldoen aan de privacyregels. Geen enkele club kan officieel ‘AVG-proof’ worden verklaard.

Er komen wel AVG-certificaten. Partijen die deze uitgeven moeten een stempel van goedkeuring krijgen van de Raad voor de Accreditatie. Dan nog, waarschuwt ook de AP, is het maar een momentopname.

De meeste keurmerken in Nederland zijn commercieel van aard en veelal niet officieel erkend. Zo ontstond er een levendige handel in keurmerken voor webshops. Ook privacy vormt een markt met behoeften van consumenten aan waarborgen, dus ontstaan er keurmerken. Het clubje GDPRproof schermt met een GDPR-certificaat waarover het ‘in overleg met de Europese Comissie’ is. De link naar de uitleg van het certificaat werkt niet. En het bedrijf AVG Keurmerk, dat louche advisering aanbood, is na een publicatie van het Belgische Datanews uit de lucht gehaald.

De Privacy Company in Den Haag, een serieuze adviesclub die razendsnel groeit in omzet dankzij de AVG-handel, biedt een Keurmerk Privacy aan bedrijven en andere organisaties. ‘Met dit keurmerk kan jouw organisatie aantonen dat de omgang met persoonsgegevens goed in orde is. Dit geeft klanten en leveranciers extra vertrouwen in de dienstverlening.’

Met wel een voorbehoud: ‘Met het keurmerk toont jouw organisatie de mate van volwassenheid van de privacy organisatie. Het geeft niet aan dat er een volledige compliance is met alle privacyregels uit de Algemene Verordening Gegevensbescherming.’

Arnold Roosendaal, directeur van Privacy Company, vindt het voeren van een keurmerk juist: 'De waarschuwing van de AP gaat over een bedrijf dat zegt met de AP samen te werken en een officieel AVG certificering in de zin van art 42 AVG zegt te geven. Dat kan helemaal nog niet dus echte oplichterij.

Wij hebben een zuivere weg met serieuze support en onafhankelijke, externe auditing. Dat heeft specifiek waarde anders dan de AVG artikel 42 certificeringen die over één systeem of proces gaan maar in principe weinig zeggen over de organisatie als geheel.

Dat er andere partijen zijn die als onervaren cowboys onzin en leugens verkopen omdat er een markt met geld zit kunnen wij niet helpen.'

Het model waaraan Privacy Company toetst, is het CIP-overheid Privacy Volwassenheidsmodel. ‘Dit model is ontwikkeld door een vakkundig platform van privacy-experts en wordt breed gedragen in het werkveld.’

CIP is een publiek-private club met overheden als deelnemers en bedrijven als kennispartners. De eersten stellen de vereisten op en de laatsten adviseren het CIP, winnen er klanten en gaan vervolgens verdienen aan advies bij overheden en bedrijven.

Bij bedrijven is dat advies er doorgaans op gericht dat ze de implicaties van de regels weten te ontwijken: dus zo veel mogelijk persoonsgegevens verzamelen en cookies proberen te plaatsen terwijl ze nog voldoen aan de AVG.