ZBC Kennisbank

AP bewijst privacy een slechte dienst

 

Niet zo lang geleden gaf ik de Autoriteit Persoonsgegevens (AP) nog een pluim in mijn artikel ‘Meerjarenbeleid Autoriteit Persoonsgegevens schept duidelijkheid’. Helaas is het daarna bergafwaarts gegaan. In plaats van ferme tikken uit te delen in de vorm van fikse boetes, zoals in andere Europese landen gebeurt, is het meerjarenbeleid op de lange baan geschoven en is de AP weer vervallen in haar schoolmeesterrol.

In november 2019 publiceerde de autoriteit haar normuitleg van de verwerkingsgrondslag van het gerechtvaardigd belang. Die normuitleg is echter eigenzinnig, om niet te zeggen controversieel. En dat schept verwarring, terwijl de AVG er toch is om duidelijkheid te scheppen. Het is ook in strijd met de doelstelling van de Europese Unie om in de hele EU te komen tot eenvormige privacyregels.

Toelichting op de verwerkingsgrondslag

De privacywet AVG staat toe dat er persoonsgegevens worden verwerkt, als er sprake is van een gerechtvaardigd belang, tenzij de privacybelangen van degenen op wie de gegevens betrekking hebben te veel worden aangetast. Deze zogeheten verwerkingsgrondslag vereist dus een afweging van belangen, zoals we dat lang geleden al beschreven in het artikel ‘AVG is vooral een afweging en geen verplichting’.

Zo mag een onderneming persoonsgegevens bijvoorbeeld gebruiken om de eigen diensten onder de aandacht te brengen, maar moet daarbij wel voldoende rekening houden met de privacybelangen van de klanten. Ook van veel andere alledaagse verwerkingen, zoals fraudebestrijding of direct marketing, wordt aangenomen dat die kunnen worden aangemerkt als  gerechtvaardigd belang.

In haar onlangs gepubliceerde normuitleg noemt de autoriteit echter een aantal belangen die, wat haar betreft, in elk geval niet gekwalificeerd kunnen worden als gerechtvaardigd belang. Expliciet uitgesloten zijn, zo zegt de toezichthouder, ‘het dienen van zuiver commerciële belangen’ en ‘winstmaximalisatie’. De toezichthouder vindt dus dat een onderneming niet ten behoeve van haar commerciële belangen persoonsgegevens mag verwerken, ook niet als deze onderneming ervoor heeft zorggedragen dat de privacybelangen van haar klanten daarbij optimaal zijn gewaarborgd.

Bezwaren tegen deze uitleg

Allereerst gaat deze normuitleg in tegen de rechtspraak van de hoogste rechters op dit gebied. Het Hof van Justitie van de Europese Unie heeft in een handjevol uitspraken bevestigd dat commerciële belangen wél worden aangemerkt als gerechtvaardigd belang. Of een onderneming in het geval van een commercieel belang gegevens inderdaad mag verwerken, wordt bepaald door het commercieel belang af te wegen tegen de privacybelangen van betrokkenen. Een onderneming mag voor haar eigen commerciële doeleinden gegevens verwerken, als de privacybelangen zijn gewaarborgd.

Ook gaat de normuitleg van de autoriteit in tegen het beleid van andere Europese privacytoezichthouders, dat is gebaseerd op deze rechtspraak. Zo hebben onder andere de Franse en de Engelse toezichthouder kortgeleden bekend gemaakt, dat ook commerciële belangen van ondernemingen wel degelijk kunnen worden opgevat als gerechtvaardigde belangen. De normuitleg van onze eigen toezichthouder leidt er dus toe dat in Nederland andere regels gaan gelden dan in andere lidstaten. Dat is zoals gezegd in strijd met de doelstelling van de Europese Unie om te komen tot een eenvormig, geharmoniseerd kader van privacyregels. Verder zet de normuitleg Nederlandse bedrijven op achterstand ten opzichte van ondernemingen in andere lidstaten. En de AVG was juist bedoeld om een eerlijk speelveld te creëren binnen de EU.

En last but not least zijn er meer principiële bedenkingen. De normuitleg van de Autoriteit Persoonsgegevens past in een trend waarbij nadrukkelijk en radicaal afstand wordt genomen van marktwerking. Uiteraard valt daarover van alles te zeggen. De vraag is echter of het aan een objectieve en onafhankelijke privacytoezichthouder is stelling te nemen in dat in wezen politieke debat. Ik denk van niet.

Verdere negatieve effecten van deze normuitleg

In feite dwingt de AP bedrijven om toestemming te vragen aan betrokkenen. En die betrokkenen zitten daar allerminst op te wachten. We zien een cookiemoeheid van de consument. Er wordt heel vaak gevraagd om cookies te accepteren. Om dit te beperken moet je een inspanning doen. Daardoor verleent vrijwel iedereen dan maar de toestemming. De verzamelaar van persoonsgegevens kan daardoor gelegitimeerd persoonsgegevens misbruiken. Vroeger, toen dit ongevraagd gebeurde, werd je nog beschermd door de privacywet; nu en op deze manier is dat verleden tijd. Dat zal het vertrouwen in onze wetgever niet doen toenemen, terwijl dat toch een expliciet uitgangspunt van de AVG was.

Omdat de AP nog geen boetes uitgedeeld heeft voor overtredingen op dit gebied, is er ook nog geen jurisprudentie. Pas als de AP een aantal boetes uitdeelt kan de rechter aan uitspraken van het Europese Hof toetsen of een boete terecht is. Als het gaat om deze normuitleg, dan is het te verwachten dat de rechter geen spaan heel laat van boetes van de AP. Dat zal als effect hebben dat de AP haar geloofwaardigheid nog verder verliest.

Hoe ga je om met deze uitleg van de AP?

Om te beginnen is privacy een grondrecht voor iedereen en het respecteren van dat grondrecht zou voor iedereen een doodnormale zaak moeten zijn. Dat de AP van privacy een soort juridisch steekspel maakt, doet hier voor bedrijven niets aan af. In het artikel ‘Privacy volgens de AVG is geen moeten maar willen’  schreven we niet voor niets dat het respecteren van privacy primair een keuze is en geen verplichting. Essentieel is de afweging die je maakt tussen de belangen van (meestal) klanten en het eigenbelang van de organisatie. En over deze keuzes moet je transparant en duidelijk zijn naar zowel die klanten als naar de eigen medewerkers. Dat is wat de AP zou moeten toetsen en wat ze helaas nalaat. In het artikel ‘Je privacy in twee maanden op orde voor de AVG’  geven we aan hoe je dit vorm kunt geven. Uitgangspunt daarbij is dat wat je doet, je niet doet omdat het moet van de AP maar omdat het de wens is van de directie. Zij gaat tenslotte over het beleid en niet de AP.

Bron: Rob van Eijk en Gerrit-Jan Zwenne. ‘Privacytoezichthouder neemt heel opmerkelijk afstand van marktwerking’. In: Het Financieele Dgablad. 24 december 2019
Auteur(s): Wiebe Zijlstra | 27 januari 2020


2 Responses to “AP bewijst privacy een slechte dienst”

  1. Wiebe Zijlstra schreef:

    Als je de overwegingen leest bij de AVG, dan is deze niet bedoeld om individuen beter te beschermen (de Wbp was goed genoeg) maar vooral om harmonisatie te krijgen in de EU over de privacy wetgeving. Door de opstelling van de AP wordt deze intentie doorbroken.

  2. Arjen Wolters schreef:

    Ik ben blij met deze uitleg. Ik wil namelijk niet dat commerciële partijen zelfstandig over mij en voor mij gaan bepalen of ze mijn data mogen opslaan zonder mijn akkoord. Een commercieel belang is er altijd anders slaan de commerciele partijen de data niet op. De auteur van dit artikel maakt de AVG zo ongeveer overbodig.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *