Hebt u ze ook gehad? Al die mailtjes waarin u gevraagd wordt of u nog steeds op de hoogte gehouden wilt worden van de aanbiedingen van bedrijf X, de agenda van buurthuis Y of de voorstellingen van schouwburg Z? Krijgt u ook steeds meer pop-ups te zien als u aan het internetten bent, met de vraag de privacyvoorwaarden van de dienst die u gebruikt te accepteren?

Het lijkt wel alsof alle bedrijven en organisaties plotseling collectief in de stress schieten van de AVG: de Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywet die vanaf 25 mei, binnen een week dus, van toepassing wordt. Ondanks het feit dat deze wet er al jaren aan zat te komen, al twee jaar geleden is aangenomen, en sowieso maar weinig verschilt met zijn voorganger: de richtlijn uit 1995 die in Nederland bekend staat als de Wet bescherming persoonsgegevens.

Zo vraagt de Hellendoorn Rally zich af of de bloedgroep van de deelnemers voortaan nog wel op hun auto vermeld mag staan. Als dat niet had gemogen, zijn ze al 23 jaar in overtreding. Maar wees gerust: als een coureur er zelf voor kiest zijn bloedgroep op zijn bolide te zetten, dan mag dat.

Ook zijn er voetbalverenigingen die willen weten of ze foto’s van hun teams nog wel op de website mogen zetten. Dat lijkt me wel: als je maar vooraf duidelijk bent over waar je de foto voor gaat gebruiken.

Microsoft blokkeert inmiddels accounts van kinderen, zodat ze niet meer bij hun OneDrive data kunnen, hun outlook.com email niet meer kunnen lezen, of geen gebruik meer kunnen maken van Skype. Andere Amerikaanse bedrijven gaan nog verder: die blokkeren simpelweg de toegang tot alle gebruikers in Europa.

Behalve deze angsthazen zijn er natuurlijk de notoire bullebakken.

Facebook spant weer de kroon: eerst in alle landelijke dagbladen een charmeoffensief plaatsen, vervolgens alle niet-Europese profielen niet langer onder de Ierse wetgeving (en dus de AVG) laten vallen, en ten slotte aankondigen dat ze toch WhatsApp-data met Facebook gaan delen.

Of wat te denken van onze overheid, die gebruik maakt van talloze persoonlijke databronnen en met behulp van slimme algoritmen ons gedrag analyseert. Syri bijvoorbeeld, het Systeem Risico Indicatie, dat gebruikt wordt om in te schatten wie zich eventueel schuldig zouden kunnen gaan maken aan belasting- of premiefraude. Of het stadsdeel Amsterdam-Zuid, dat Facebook-profielen van hangjongeren analyseert, om zo potentiële overlastgevers alvast in het vizier te hebben.

Al met al is het eigenlijk een bizarre situatie. Aan de ene kant heb je organisaties die denken dat van de wet niets meer mag, of dat je voor alles expliciete toestemming nodig hebt. En aan de andere kant heb je organisaties die zich weinig van de wet aantrekken. Terwijl het basisprincipe eigenlijk doodeenvoudig is: je mag best persoonlijke informatie verwerken, als je dat maar op een eerlijke en verantwoorde manier doet.

Na 25 mei begint het eigenlijk pas: als het goed is, kruipen de angsthazen dan uit hun schulp, en zullen de bullebakken aangepakt worden. Zo niet, dan krijgen de bullebakken vrij spel, en zijn we allemaal het haasje.

Deze column verscheen op 19 mei 2018 in het Morgen katern van het FD