Burger kan zelf zijn privacy niet waarborgen
Overheden en bedrijven moeten actiever aantonen dat ze zorgvuldig omspringen met persoonsgegevens van burgers dan ze nu doen. Dat stelt het College Bescherming Persoonsgegevens naar aanleiding van de Europese Dataprotectiedag.
Ondoenlijk
Gegevens over burgers komen in steeds meer digitale bestanden voor en voor die burgers is het ondoenlijk geworden in de gaten te houden op welke manier hun gegevens worden verwerkt, zelfs voor gemotiveerde burgers die erg met hun privacy begaan zijn. Daarom zijn overheden en bedrijven nu aan zet, stelde het College Bescherming Persoonsgegevens (CBP) op de Europese Dataprotectiedag.
Zelf aantonen
Het CBP pleit voor het leggen van de verantwoordelijkheid waar die hoort; bedrijven en overheden moeten dan zelf kunnen aantonen dat zij de persoonsgegevens van klanten en burgers zorgvuldig gebruiken en beveiligen. 'Zij moeten de betrokkenen helder, volledig en op een toegankelijke manier informeren over het doel van het verwerken van hun gegevens en meedelen aan welke derden zij die gegevens verstrekken. Alleen dan kunnen burgers hun rechten uitoefenen, zoals het verbeteren van hun gegevens of het laten verwijderen ervan.'
Meldplicht
Maar er moet meer gebeuren, vindt het CBP. Bij het ontwerpen en ontwikkelen van nieuwe producten en diensten moet meteen al rekening worden gehouden met privacy-eisen. Ook moet er meer aandacht komen voor beveiliging. En mocht het alsnog misgaan en er een ‘datalek’ ontstaan, dan moet dat onmiddellijk worden gemeld, zodat snel maatregelen kunnen worden genomen.
Elke overheid en elk bedrijf zou in zijn privacy-policy een volledige, limitatieve lijst moeten opnemen met welke andere, bij naam genoemde overheden/bedrijven persoonlijke gegevens kunnen worden gedeeld. Dus bijvoorbeeld niet een vaag zinnetje als "Gegevens kunnen worden doorverkocht zolang we dat zorgvuldig doen".
Als die lijst erg lang zou zijn, zou dat een goede aanleiding zijn voor vragen.
Daarom zou elke overheid en elk bedrijf een aanspreekpunt moeten hebben dat antwoord kan geven op de vraag waarom bepaalde specifieke overheden/bedrijven op de lijst staan.
Het principe zou moeten zijn: persoonlijke gegevens worden niet verder verspreid, tenzij daar aantoonbaar een noodzaak voor is.