ZBC Kennisbank

AP maakt eigen interpretatie van de AVG

 

De grondwet zegt dat inbreuk op de privacy niet mag. Dat op zich zou betekenen dat ieder sociaal verkeer, elke dienstverlening, elke samenwerking en alle zorg verboden is. En dus dat onze maatschappij krakend tot stilstand komt. Maar er is de AVG, die ervoor is bedoeld, dat te voorkomen en die inbreuk op het grondrecht privacy wel mogelijk maakt.

Daarnaast is de AVG ook bedoeld om bedrijven aan te pakken, die willens en weten misbruik maken van persoonsgegevens. Aangezien 99,9% van de bedrijven die intentie niet heeft, is dat gedeelte van de AVG voor de meeste organisaties niet van toepassing.
Als we echter de publicaties van de toezichthouder, de Autoriteit Persoonsgegevens (AP), lezen, moeten we constateren dat zij bezig is de AVG op heel eigen wijze te interpreteren.

De tunnelvisie van de AP

Eind 2015, toen de boete op overtreding van de Wbp werd opgetrokken, is de AP gestopt met handhaven. Er is sindsdien geen boete meer uitgedeeld. Gevolg is, dat geen rechter meer heeft getoetst of de beweringen van de AP juridisch houdbaar zijn en dat de AP geen weerwoord kreeg. Kreeg ze dat weerwoord van andere partijen toch, dan legde zij dit hautain naast zich neer. Zij was tenslotte de autoriteit en zij wist hoe de AVG geïnterpreteerd moest worden.
In haar streven zo duidelijk mogelijk te zijn over de AVG, gaat de AP helaas volledig voorbij aan wat de AVG over zichzelf zegt:

  • In art 1.3 staat: “Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.
  • Overweging 4 geeft aan: “Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.

Wanneer bedrijven, die tot de genoemde 99,9% behoren, straks van de AP een forse boete krijgen opgelegd, dan zullen zij uiteraard naar de rechter stappen en zich beroepen op deze twee artikelen. Wanneer zij kunnen aantonen dat zij de belangenafweging hebben gemaakt, zoals genoemd in overweging 4, hierop keuzes hebben gemaakt en hierover transparant zijn geweest, dan zal de rechter de forse boete ongetwijfeld van tafel vegen of in elk geval terugbrengen tot een minimale boete.

Het advies van de AP

Als we op de site van de AP lezen wat zij adviseert over de aanpak van privacy, zien we de tunnelvisie van de AP terug.
De eerste stap die de AP adviseert, is het kweken van bewustwording: “Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.”
Impliciet wordt hier gesuggereerd, dat de AVG een absoluut gegeven is en context onafhankelijk, wat volstrekt in strijd is met overweging 4. (Zie ook ‘AVG is vooral een afweging en geen verplichting’.) Onze rechtspraak neemt juist wel de context meeneemt. De AP heeft zich in haar periode van isolement losgezongen van maatschappelijke ontwikkelingen en legt nu context onafhankelijk alle organisaties dezelfde verplichtingen en restricties op. Dat precies is ook de klacht van bijvoorbeeld werkgeversorganisaties MKB Nederland en VNO-NCW.

Werkgevers in de knel door uitleg AP van de AVG

In een brief die MKB-Nederland en VNO-NCW onlangs naar de Tweede Kamer hebben gestuurd, staat dat werkgevers in de knel komen door de beperkingen die de Autoriteit Persoonsgegevens (AP) oplegt voor de verwerking van (gezondheids)gegevens van medewerkers. Beide ondernemersorganisaties willen dat de wetgever nader aangeeft onder welke voorwaarden werkgevers mogen vragen naar de gezondheidssituatie van medewerkers. Nu vult de AP de ruimte die de nieuwe privacywet AVG biedt zeer restrictief in. Door als wetgever duidelijkheid te creëren in de wet, kunnen ondernemers hun verantwoordelijkheden rond re-integratie, 100.000 banenplan en veilige werkomgeving waarmaken, zonder dat de AP daar onder het mom van privacy een stokje voor steekt.
Zo mag een werkgever bijvoorbeeld in de eerste zes weken ziekte niet aan een werknemer vragen wat hij of zij eventueel nog wel kan: zitten, staan, concentreren. Hiervoor moet een bedrijfsarts worden ingeschakeld, die wél dat soort vragen mag stellen. Een onnodige medicalisering van het proces, aldus MKB-Nederland en VNO-NCW, want in de Wet verbetering Poortwachter hebben de partijen juist afgesproken dat werkgever en werknemer er zoveel mogelijk sámen uitkomen.
Ook stuit het de ondernemersorganisaties tegen de borst dat werkgevers die bijvoorbeeld via een uitzendbureau mensen met een beperking willen aannemen, tijdens de selectiefase niet mogen vragen wat de beperking is. Zo kan het gebeuren dat iemand met smetvrees een schoonmaakbaan krijgt aangeboden. Ook gerichte aanpassingen op de werkvloer zijn hierdoor niet mogelijk. Dat kan toch echt niet de bedoeling zijn, aldus MKB-Nederland en VNO-NCW.

Testen op drugs en alcohol

De werkgevers willen verder dat medewerkers bij chemische of nucleaire installaties mogen worden getest op alcohol- of drugsgebruik. De AVG biedt hiervoor niet voldoende grondslag. Het gaat om werkomgevingen waarbij de algemene veiligheid in het geding is. Wat als een dronken medewerker een fout maakt waardoor er een zware explosie plaatsvindt en giftige stoffen vrijkomen? Dan zijn de gevolgen voor medewerkers en omwonenden niet te overzien. De AP stelt dat dit soort testen verboden is, omdat de wet niet expliciet stelt dat het wél mag. MKB-Nederland en VNO-NCW pleiten dan ook voor een concrete wetswijziging.

Laat de AP weer de goede dingen doen.

Omdat de AP de belangenafweging die de AVG juist wel steeds maakt, naast zich neerlegt, lijkt de AVG een donkere wolk, die in mei 2018 alle zonnige vooruitzichten voor  organisaties gaat bedekken. Dat terwijl de AVG juist bedoeld is om het vrije verkeer van persoonsgegevens mogelijk te maken (art. 1) en om de 0,1% van de bedrijven, die overlast bezorgen, aan te kunnen pakken.
De AVG staat  zelfs het verkopen van persoonsgegevens toe, mits wel aan een aantal regels wordt voldaan, iets dat door de burger toch wordt gezien als een grote inbreuk op de privacy.
Wie heeft er bijvoorbeeld iets aan verplichting voor organisaties een uitgebreid register bij te houden van persoonsgegevens? Het is misschien alleen gemakkelijk voor de AP om die 0,1% van de bedrijven te controleren en verder zinloos. Voor 99,9% van de organisaties geldt, dat er geen belang gediend wordt met het bijhouden van dit register. En dus zou het zo summier als mogelijk moeten gebeuren om de kosten zoveel mogelijk te beperken. Zeker voor zorginstellingen, die omwille van de belanghebbende bij de zorg, veel medische gegevens uitwisselen, zijn dit soort verplichtingen ongewenst en dus ook in strijd met artikel 1. (Zie ook ‘Pragmatische benadering AVG en privacy’.)

Laat de AP graag snel gaan handhaven

Het is te hopen dat de AP na 25 mei snel begint met handhaven. Dan zal ook snel rechterlijke toetsing van de interpretatie van de AP plaatsvinden. En met de zo opgebouwde jurisprudentie worden bedrijven verlost van allerlei verplichtingen, waaraan ze nu in de interpretatie van de AVG door de AP moeten voldoen.
Zolang 99% van de Nederlanders zonder probleem akkoord gaat met de gebruiksvoorwaarden van Google en Facebook, zijn er wel belangrijker zaken in het leven dan het beschermen van de privacy van het individu. Laten we ons wat meer richten op de beveiliging van bestanden met persoonsgegevens. Want het valt natuurlijk niet uit te leggen welk belang gediend wordt, als zo’n bestand op straat komt te liggen. (Zie ook ‘Niet elke inbreuk op je privacy is erg’.) Laat de AP vooral haar pijlen daarop richten en niet op allerlei administratieve verplichtingen. Want bedrijven, die dat risico niet beheersen verdienen een boete en verdienen het om aan de schandpaal genageld te worden.
En zelfs als we ongelijk hebben met onze interpretatie van de AVG, dan nog zal een bedrijf  geen boete krijgen, wanneer het kan aantonen, dat het  privacy en de AVG serieus neemt. (Zie ook ‘Je privacy in twee maanden op orde voor de AVG’.)

ZBC helpt organisaties die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.

 

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 4 april 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *