Winkels en bedrijven overtreden massaal de privacywet op internet. Zo eist Ticketservice dat de klant bij het kopen van een concertkaartje een account aanmaakt en verplicht telefoonnummer en adres invult. Wie bij postbesteller PostNL een aangeboden pakket op ander moment wil laten bezorgen, moet geboortedatum, adres en mobiele telefoonnummer opgeven. “Van de privacywet mag dat helemaal niet”, weet hoogleraar Jaap-Henk Hoepman van de Radboud Universiteit Nijmegen. “Alleen of je betaald hebt en naar welk e-mailadres het digitale kaartje moet, doet ter zake. Verder hoeft niemand iets te weten.”

Wie een dergelijke schending van de privacywet vaststelt, kan daarover klagen bij het College Bescherming Persoonsgegevens (CPB). Toch heeft zo’n klacht weinig zin, zegt Hoepman. De waakhond heeft simpelweg de mankracht niet om klachten te onderzoeken. “We moeten als kleine toezichthouder prioriteiten stellen”, erkent Lisette Rutgers namens het CBP. “Maar het is zeker niet zo dat een klacht zinloos is. Op basis van signalen doen wij namelijk onderzoek, en dat kan er toe leiden dat we een bedrijf of instelling aanpakken.”

Voor dat laatste wil het CPB graag meer armslag; het wil boetes opleggen als de wet Bescherming Persoonsgegevens wordt overtreden. Nu kan het alleen maar dwangsommen opleggen, hetgeen overtreders de kans geeft hun fouten te herstellen. Daarmee ontlopen zij een boete. Vorige maand kondigde de Europese Commissie al aan dat bedrijven en organisaties verplicht worden gegevenslekken zo snel mogelijk te melden. Overtreders kunnen een boete tot 2 procent van de jaaromzet opgelegd krijgen.

De discussie over online veiligheid en het verplicht afstaan van privégegevens bij simpele aankopen laait weer op door de huidige regen aan datalekken. Hackers leggen de hand op gevoelige data door knullige menselijke fouten, zoals het niet updaten van beveiligingssoftware. Hoepman leidt voor TNO een werkgroep die onderzoek doet naar dataminimalisatie. “Hoe minder gegevens je opgeeft, hoe minder er kan worden gestolen”, vat hij samen.

Volgens Hoepman mogen bedrijven persoonsgegevens alleen verzamelen met een specifiek doel: “Als het voor een dienst niet noodzakelijk is moet je geen leeftijd opgeven. Het moet onderdeel worden van een economisch besluit informatie te gaan verzamelen. Bedrijven gaan pas bewust om met het verzamelen van persoonsdata als ze beseffen wat het kost om die te beschermen. Of als er boetes worden opgelegd als dit illegaal is.”