Het privacyrecht is inmiddels een serieus specialisme met jaarlijks tientallen beschikkingen, vonnissen en richtsnoeren. Een overzicht daarvan is nuttig, maar kan je daarin ook bredere ontwikkelingen ontdekken? In deze blogserie worden tien privacytrends van 2014 besproken. Dit is de tweede trend: er blijken ook ongeschreven privacyregels te bestaan.

Deze serie van privacytrends is eerder gepubliceerd in Mediaforum 2015/2, p. 50-54. Zie hier de eerste trend.

In mijn vorige blog schreef ik dat de reactie op de ING-affaire waarschijnlijk minder heftig was geweest als Snowden niet een boekje open had gedaan over de veiligheidsdiensten. Maar wat ook de oorzaak is, die ING-affaire zal nog lang zijn schaduw vooruitwerpen. ING’s plannen om klantgegevens commercieel te benutten met gerichte advertenties leken juridisch in orde: ING zou toestemming vragen van klanten die wilden meedoen aan de pilot. Tóch kreeg ING na aankondiging stevige kritiek vanuit de politiek, financiële toezichthouders en NGO’s. Zij besloot de plannen voorlopig in de koelkast te doen.

De cynicus concludeert waarschijnlijk dat communicatie belangrijk is: ING had de maatschappelijke impact van haar plannen beter moeten inschatten en beter moeten communiceren. En daar zit wat in. Eén les van de ING-affaire is dat álle big data-besluiten op bestuursniveau moeten worden goedgekeurd, vergezeld van een duidelijk communicatieplan.

Maar het zou zonde zijn als dat de enige conclusie was. De ING-affaire bewijst naar mijn mening ook dat er ongeschreven privacyregels zijn – ongeschreven regels die soms werken in aanvulling op de geschreven regels. Overtreding van die ongeschreven regels leidt niet tot boetes, maar kan wel dodelijk zijn voor je reputatie. Privacybeoefenaren moeten die ongeschreven regels de komende jaren in kaart brengen.

Een les van de ING-affaire is bijvoorbeeld dat de maatschappelijke functie van een organisatie, de gevoeligheid van de gegevens, de onvermijdelijkheid van de dienst en de prijs van de dienst een rol spelen bij de ‘maatschappelijke privacytoets’. (Die onvermijdelijkheid zou trouwens ook een haakje bieden voor het meer juridisch argument dat toestemming in zo’n geval niet vrij kan worden gegeven, maar dat terzijde.) En deze les is weer relevant voor andere ‘nutsbedrijven’. Telecom- en energiebedrijven, met een goudmijn aan onbenutte klantgegevens, doen er verstandig aan eventuele big data-plannen langs die maatschappelijke meetlat te leggen.

De ING-affaire illustreert ook dat klanten prima snappen wanneer hun een rad voor ogen wordt gedraaid. Ze begrijpen dat gerichte advertenties vooral de adverteerder en het advertentiemedium ten goede komen, terwijl de klant er vooral armer van wordt. Die wordt met gerichte advertenties immers nog beter verleid om dingen te kopen. Een plan om klantgegevens te analyseren moet dus allereerst bedoeld zijn die klant te helpen, wil het de maatschappelijke privacytoets passeren.

Morgen bespreek ik de volgende trend: toezichthouders in Europa leggen de nadruk op waarborgen.