5 minute read
Interview | Florian Overkamp en Jarno Beumer, Speakup
Interview | Dirkjan van Ittersum
Door nieuwe regels staat privacy volop in de belangstelling. Handhaving van de AVG per 25 mei dwingt bedrijven beter over het onderwerp na te denken. Bovendien is er discussie over de zogenoemde sleepwet. Speakup doet zijn naam eer aan: het bedrijf heeft over beide een duidelijke mening.
Al zo’n vijftien jaar levert Speakup VoIP-diensten aan de zakelijke markt. Vanaf dag een sprak het bedrijf zich uit over kwesties rondom privacy en beveiliging. “We zijn ons terdege bewust van de impact van een eventueel gegevenslek”, legt oprichter Florian Overkamp uit. “We zijn ISO-gecertificeerd en hebben de benodigde processen ingericht, maar zijn ook activistisch. We procederen soms met anderen tegen de staat omdat we vinden dat op punten de wet niet goed in elkaar zit.” Speakup was betrokken bij de rechtszaak tegen de oude wet op de bewaarplicht telecommunicatiegegevens. Die wet werd door de rechter van tafel geveegd omdat de bewaartermijn niet redelijk was.
Plan van aanpak De laatste tijd is er veel belangstelling voor het onderwerp privacy. Dat heeft onder meer te maken met de nieuwe Europese privacywetgeving Algemene Verordening Gegevensbescherming (AVG, ook bekend onder de Engelse noemer GDPR) die per 25 mei wordt gehandhaafd. De wet bepaalt dat bedrijven persoonlijke gegevens alleen mogen opslaan als dat strikt noodzakelijk is of wanneer een consument daar toestemming voor heeft gegeven.
Over de AVG is Speakup positief. “We vinden het goed dat die verordening er is”, zegt bedrijfsjurist Jarno Beumer. “Niet alles wat de AVG ons brengt is nieuw: verwerkersovereenkomsten moesten bijvoorbeeld al geruime tijd gesloten worden maar veel bedrijven beseften dit niet. Je ziet dat het onderwerp privacy opeens weer volop de aandacht heeft. De regels worden flink aangescherpt. Wij hebben daarom een plan van aanpak opgesteld, onder meer om collega’s op de werkvloer nog bewuster te maken van het belang van privacy. Daarnaast implementeren we natuurlijk alle AVG-regels, zoals het invoeren van nieuwe, aangescherpte verwerkersovereenkomsten met partijen waarmee we samenwerken.”
Zwartwit “De eerlijkheid gebiedt te zeggen dat het niet altijd even helder is”, vult Overkamp aan. “KPN heeft bijvoorbeeld het standpunt ingenomen dat voor telecommunicatie geen sprake is van een verwerker-verantwoordelijke relatie, maar dat alle betrokken operators zelfstandig gegevens-verantwoordelijke zijn. Daar zullen nog wel wat discussies over komen. De Autoriteit Persoonsgegevens (AP) begrijpt ook wel dat alles niet zo zwartwit is als in de wet staat. Hoeveel ZZP’ers zijn er niet die via WhatsApp aan iedereen een bericht sturen over bijvoorbeeld een nieuwe site. Mag dat zomaar met de nieuwe regels? Het is soms een kwestie van gezond verstand erbij houden, maar ik vermoed dat we daar wel uit gaan komen. Wat ik de grootste winst vind, is dat iedereen doordrongen raakt van het belang van de regels rond privacy en erover nadenkt hoe ermee om te gaan. Dat kan excessen voorkomen zoals we die de laatste tijd hebben gehad met Facebook en Cambridge Analytica.” Waar Speakup positief is over de AVG, ligt dat anders voor de sleepwet, zoals de nieuwe wet op de inlichtingen- en veiligheidsdiensten in de volksmond wordt genoemd. “We hebben ons aangesloten bij een aantal partijen dat daar bedenkingen bij heeft, onder meer privacyvoorvechters, journalisten en andere ICT-bedrijven. Er komt een kort geding en daarna wellicht een bodemprocedure. We zijn niet per definitie tegen de wet, maar de bepalingen over massasurveillance willen we ter discussie stellen”, zegt Overkamp.
Kwalijk Speakup zegt dat de impact op de maatschappelijke levenssfeer redelijk moet zijn. “Er staan bevoegdheden in die ons zouden kunnen verplichten om geautomatiseerd gegevens uit te wisselen met veiligheidsdiensten. Een dienst krijgt dan feitelijk live toegang tot al onze gegevens. Die kunnen worden gecombineerd met informatie uit andere databases. Dat vinden we te ver gaan. Bovendien is het mogelijk is dat niet het bedrijf maar een individuele medewerker wordt gevraagd gegevens aan te leveren. Die mag dat niet aan de leiding melden en is potentieel strafbaar als hij niet meewerkt. Dat vind ik kwalijk.”
Speakup vindt ook dat er te veel gegevens worden bewaard. “Met de oude wet kon een dienst gericht gegevens opvragen als er een verdenking bestond tegen een persoon. Nu gaat het om het ‘onderzoeksopdrachtgericht’ verzamelen van
gegevens waardoor gegevens van een grote groep mensen bewaard kunnen worden”, legt Beumer uit. “Dan krijg je dus het sleepneteffect. Er zal dan ook informatie bij zitten van veel personen die niet verdacht zijn.”
Soeverein Wat er met al die gegevens gebeurt, is onduidelijk. “Informatie is een belangrijk ruilmiddel tussen veiligheidsdiensten. Onder de nieuwe wet mogen verzamelde bulkgegevens uitgewisseld worden met buitenlandse veiligheidsdiensten”, aldus Overkamp. “Dat kan zelfs ongezien gebeuren. Je weet dan niet welke informatie wordt gedeeld met andere landen en je hebt geen zicht meer op wat er daar mee gebeurt. Misschien deelt zo’n land het weer met een ander land. Daar kunnen heel persoonlijke gegevens uit worden afgeleid, bijvoorbeeld over iemands politieke voorkeur. Dat kan
Jarno Beumer en Florian Overkamp
terechtkomen bij een land als Turkije. Wat doet zo’n land met die informatie? Internationaal wordt een oorlog gevoerd over toegang tot informatie. Er was onlangs ook een rechtszaak
waarbij Amerikanen e-mailgegevens probeerden te krijgen uit Ierland. Die rechtszaak is gestaakt toen er een wet was aangenomen waarmee Amerikaanse veiligheidsdiensten die gegevens konden opvragen bij andere diensten om ze alsnog nationaal te mogen gebruiken. Zo is er een soort loophole gecreëerd, waardoor je je kunt afvragen hoe soeverein een overheid nog is.”
De strengere regelgeving noopt veel bedrijven na te denken over hoe ze omgaan met privacygevoelige gegevens. “Het is interessant om te zien dat bedrijven die als businessmodel cloud of as-a-service-diensten hebben, nu veel beter nadenken over hun eigen businessmodel. Ethiek begint een belangrijkere rol te spelen. Dat heeft bijvoorbeeld te maken met het schandaal rond Cambridge Analytica, waardoor burgers veel beter gaan nadenken over de vraag of zij klant zijn of het product. Dat is een positieve ontwikkeling, maar de oplossing voor dit soort kwesties is nog niet gevonden.”
