ZBC Kennisbank

Juridische onderbouwing voor een pragmatische aanpak van de AVG

 

Je kunt geen vakblad en bijna geen krant openslaan of er wordt weer bericht over privacy incidenten, cybercrime en de AVG die mei volgend jaar van kracht wordt. Juristen en consultants voegen hieraan toe, dat als je er niet voor zorgt, dat je aan alle punten uit de wet voldoet,  je er zeker van kunt zijn dat je hoge boetes krijgt. Big business voor hen op deze manier. En ze zouden wel  gek zijn, als ze er niet in mee gaan. Ook de media doen er graag aan mee. Een bericht met als kop ‘Dreigende ramp’ heeft tenslotte meer nieuwswaarde dan goed nieuws.

Het is dus niet vreemd dat organisaties wat nerveus worden en wat vaak erger is, dat klanten, ketenpartners en accountants hierdoor ineens aan jou als verantwoordelijke of bewerker allerlei eisen gaan stellen om vooral hun eigen risico’s af te dekken.
ZBC doet van meet af aan al niet mee aan die bangmakerij. In artikelen als ‘Pragmatische benadering AVG en privacy’ wordt uitgelegd, dat als je serieus omgaat met privacy en afgewogen keuzes maakt over de privacy belangen van alle partijen en hier goed mee omgaat, het risico op een boete vrijwel nihil is. Wel blijft natuurlijk het risico van reputatieschade. Dit risico kun je  echter niet echt verminderen door het nauwgezet volgen van de AVG, want 100% privacy is voor iedereen ongewenst.

ZBC heeft aan juriste Mr. Wendy Franken gevraagd uit te zoeken of de benadering en stellingname van ZBC juridisch houdbaar zijn. In dit artikel haar antwoord.

Goed voorbereiden

Als men de tekst van de AVG doorneemt, zijn er al wat aanwijzingen te vinden die voor een ondernemer vragen kunnen oproepen bij alle dreig- en doemscenario’s in de markt. Uiteraard, angst doet verkopen. Maar transparantie op de lange duur misschien wel meer. Daarbij is een gedegen voorbereiding zo goed als altijd de beste strategie. 
Om zelf gedegen voorbereid te raken heb ik dus niet alleen de tekst van de Verordening zelf, maar ook de 173 punten tellende overwegingen doorgenomen die tot deze Verordening hebben geleid. Deze overwegingen tezamen met de tekst van de Verordening hebben mij ervan overtuigd, dat een pragmatische aanpak op het gebied van Privacy de juiste aanpak is. Graag wil ik in de rest van dit artikel gebruiken om u hiervan ook te overtuigen. 

Twee dingen zijn mij opgevallen:

  1. De verordening is mede opgesteld om het vertrouwen in de digitale economie te versterken.
  2. Je mag handelen in persoonsgegevens.

 

Onderbouwing voor 1 en 2 te vinden in overwegingen bij de AVG

De onderbouwing voor de hierboven genoemde punten vond ik in overwegingen bij de AVG.

Overweging (3) bij de AVG stelt:

Richtlijn 95/46/EG (…) heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te waarborgen. “

Overweging (4):

Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.”

Overweging (6) vervolgens:

”Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.”

Overweging (7) sluit aan met:

“Die ontwikkelingen vereisen een krachtig en coherent kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen.

(13):

“Voor de goede werking van de interne markt is het nodig dat het vrije verkeer van persoonsgegevens in de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.  Teneinde (…) te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, (….).”

Uitmondend in de wettekst van de AVG Artikel 1, lid 3 van de AVG welk artikel dan ook stelt: 

 

“Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens. “ 

Open normen

De AVG kent verder een heleboel open normen, oftewel: (rechts)beginselen. Stel we zouden één van deze beginselen loslaten in een kamer met tien juristen dan krijg je tenminste 9 verschillende interpretaties. Ik ben ervan overtuigd dat deze termen niet per ongeluk zijn gekozen. Naar mijn mening is uitdrukkelijk gekozen voor regelgeving met open normen. Veel open normen. Sterker nog: er is een volledig hoofdstuk vol open normen.  

Hoofdstuk II van de AVG: Beginselen 

 

In hoofdstuk II, maar ook in de rest van de Verordening treft men woorden zoals:Rechtmatigheid; behoorlijkheid; transparantie; gerechtvaardigd doel; gerechtvaardigde belang; toereikend; noodzakelijk; juist; integer; vertrouwelijk; transparantie; toegankelijk; geschikte waarborgen; onevenredig; veel inspanning; passend; behoorlijk; onverwijld; afdoende; integriteit; veerkracht etc…Zoals het rechtsbeginselen betaamt zijn deze normen dynamisch: vatbaar voor verschillende interpretaties; afhankelijk van elk specifiek geval. Rechtsbeginselen laten toe de wet aan te vullen, te interpreteren en soms zelfs bij te sturen. Het zijn uitdrukkelijk deze beginselen die het geheel abstract maken. Het zijn ook deze beginselen die de ondernemer kansen bieden.

Compliant vanaf nu?

 

Er zijn vrij veel partijen die claimen exact te weten wat je nu allemaal moet doen om per 25 mei 2018 en daarna aan de AVG te voldoen. Als ik die AVG zo lees. dan lijkt mij dat onmogelijk: het is onmogelijk om nu op elk niveau in je organisatie en voor elk geval een klip en klaar beleid te hebben. En ik denk ook dat dat niet de bedoeling is.

Of ‘in control’ vanaf nu?

 

De bedoeling is dus, dat je als organisatie ten eerste kunt aantonen dat je ‘in control’ bent. Je moet dus kunnen laten zien dat je de daadwerkelijke risico’s hebt geïnventariseerd; dat je daar beleid op hebt gemaakt en dat je een systeem hebt waarbinnen ruimte is voor controle en verbetering. Plan -do- check- act.
Ten tweede is het volgens mij de bedoeling dat je bij de omgang met data de principes van vertrouwen, accountability en eigenaarschap in ogenschouw neemt. Klinkt goed in theorie, maar hoe ziet dat er dan uit in de praktijk? Ik denk dat we een mooi voorbeeld kunnen nemen aan het leerstuk van de Vertrouwensleer. 
Hoofdregel bij de vertrouwensleer of het vertrouwensbeginsel is dat een partij mag vertrouwen op uitlatingen van de wederpartij en mag uitgaan van haar gedragingen. De vertrouwensleer in het publiekrecht is een algemeen beginsel van behoorlijk bestuur. Je kunt hier dus de bestuurlijke organisatie in rechte op aanspreken. In de praktijk betekent het vooral: doe wat je zegt en zeg wat je doet.

Conclusie

De AVG is mede opgesteld om te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen. De AVG staat vol met beginselen. Zie de AVG dan ook als pragmatische leidraad voor het opstellen, beschrijven en uitoefenen van je Privacybeleid en maak daarbij vooral gebruik van de ruimte die wordt geboden. 

Basis:

  • Privacy by Design met als leidraad de Beginselen van Hoofdstuk II (artt 5 t/m 11);
  • Transparantie inzake rechten betrokkenen met als leidraad Hoofdstuk III (artt 12 t/m 23);
  • Beveiliging en afspraken vastleggen met verwerkers / over doorgifte met als leidraad Hoofdstuk IV en V (artt 24 t/m 50);
  • Eventueel artikel 82 en 83 doorlopen om te bezien of je de daarin genoemde artikelen niet over het hoofd hebt gezien;
  • En natuurlijk de belangen afweging, de beleidskeuzes, de maatregelen om jouw risico’s te verminderen en toezicht op de naleving van die maatregelen.

Voor dit alles geldt: voor zover het op jou van toepassing is. En dat maak je vooral zelf uit.
Natuurlijk moet je privacy dus serieus nemen. Maar dat is wat anders dan het strikt naleven van alle bepalingen uit de AVG. Het  is het kiezen van een aanpak om risico’s te beheersen, zoals beschreven staat in ‘Je privacy op orde voor de AVG’. 

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wendy Franken | 19 juni 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *