ZBC Kennisbank

Omgaan met de AVG is koffiedik kijken

 

Het midden- en kleinbedrijf mag niet rekenen op een uitzonderingspositie of zelfs maar een lichter regime bij de handhaving van de nieuwe Europese privacywet, die 25 mei ingaat. Ondernemers hadden om vrijstelling gevraagd. Ze vrezen op kosten te worden gejaagd. De Autoriteit Persoonsgegevens (AP), die de naleving van de wet controleert, is echter onverbiddelijk.

Dit was op 11 mei, twee weken voor de invoering van de AVG, het voorpaginanieuws van het FD, dat je toch een serieuze krant mag noemen.
Die AVG zou duidelijkheid moeten verschaffen over wat wel en niet mag en zou de burger bescherming moeten bieden tegen inbreuk op zijn privacy. Onder de Algemene Verordening Gegevensbescherming (AVG) heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

Toch weten we, dat:

  • je bij de bank ervoor moet tekenen, dat zakelijke transactiegegevens gedeeld mogen worden met USA-autoriteiten;
  • de overheid internet-bulkgegevens mag verzamelen en delen met buitenlandse mogendheden;
  • de USA straks de passwords van je social media wil ontvangen, voordat je het vliegtuig instapt, zodat men zich vast kan voorbereiden op je komst; en social media gegevens worden ongevraagd aangewend voor commercie en politieke beïnvloeding;
  • jouw profiel door datahandelaren wordt verkocht aan derden, van wie je het bestaan niet eens kent;
  • de belastingdienst de profielen van 12 miljoen Nederlanders niet beveiligt.

En dan wordt de MKB-ondernemer strafbaar en riskeert hij torenhoge boetes, als hij zonder expliciete toestemming op zijn intranet – dat alleen door collega’s geraadpleegd kan worden- bij de naam van een medewerker ook zijn foto afbeeldt op de Who is Who pagina? Of als hij niet een nette administratie heeft van waar de persoonsgegevens vandaan komen, waar ze zijn opgeslagen, met wie ze gedeeld worden en hoe ze worden vernietigd? Hij gebruikt al jaren deze gegevens en hij gaat hier al jaren goed mee om. Daar heeft hij geen administratie voor nodig. En bovendien, als die persoonsgegevens ooit op straat komen te liggen, dan neemt waarschijnlijk niemand de moeite om ze op te rapen.

Doe effe normaal

En wat is de pakkans, in het geval dat de AP inderdaad zijn pijlen op het MKB zou willen richten? In Nederland zijn er meer dan een miljoen zzp’ers en meer dan 100.000 andere MKB-bedrijven. Laat de AP van haar 100 medewerkers eens 10 vrij kunnen maken om zich daarmee bezig te houden en laat het onderzoek per MKB’er eens een dag vergen, inclusief hoor en wederhoor en de administratieve afwikkeling. Dan komen er in de rest van dit jaar ongeveer 1000 MKB’ers aan de beurt.
Zet dat eens af tegen het aantal privacy-incidenten dat jaarlijks voorkomt. Dagelijks wordt er, vaak zonder je toestemming, tientallen keren inbreuk gemaakt op je privacy. Denk aan camerabewaking, pasjessystemen, online registreren, tracking cookies, social media, inschrijven als bezoeker, legitimeren, enzovoort. Dat zijn alleen al in Nederland meer dan 100.000.000.000 privacy-inbreuken per jaar, allemaal inbreuken waartegen de AP zou moeten optreden.
Dan is er ook nog eens niets nieuws onder de zon. We hebben in Nederland al bijna 20 jaar privacywetten. Deze zijn nooit ingrijpend veranderd. Ook nu niet, met de AVG. De boetes worden nu wel stapsgewijs verhoogd. Maar ook dat gebeurt in feite al jaren. Die hogere boetes zijn echter nog nooit uitgedeeld. Zeker niet aan organisaties die privacy serieus nemen, maar waar dan toch een fout is gemaakt. Want dat kan natuurlijk altijd gebeuren.
Kortom, de AP heeft wel wat beters te doen dan jou als MKB’er te betrappen op een administratieve fout, terwijl er legio inbreuken op de AVG opzettelijk gepleegd worden door bedrijven die hier hun verdienmodel van hebben gemaakt.

Stelt de AVG dan helemaal niets voor?

Natuurlijk is de AVG van belang. Deze helpt immers één van onze grondrechten te beschermen, een grondrecht van ons allemaal, een grondrecht dat het waard is om te worden beschermd. Volgens de AVG mogen persoonsgegevens alleen verwerkt worden voor een ‘gerechtvaardigd’ doel. Het belang dat je als bedrijf of instelling bij de verwerking hebt, moet gerechtvaardigd zijn. Bovendien moet de verwerking (dus de persoonsgegevens die je verzamelt en wat je er vervolgens mee doet) ‘proportioneel’ en ‘subsidiair’ zijn. Proportioneel betekent dat de mate van inbreuk die je pleegt op de persoonlijke levenssfeer in overeenstemming moet zijn met het belang dat hier mee gemoeid is. Subsidiair betekent dat je je doel niet kunt bereiken met een minder ingrijpende inbreuk. Het moet dus zijn: ‘ter zake dienend en beperkt tot wat noodzakelijk is’.
Probleem hierbij is wel, dat slechts summier wordt beschreven wat ‘gerechtvaardigd, proportioneel of subsidiair’ is. Bedrijven vinden al gauw dat hún doel volledig gerechtvaardigd is en dat het verzamelen van nóg meer gegevens per definitie proportioneel is, omdat hun systemen dan nog efficiënter werken. En ze vinden dat het subsidiair is, omdat op een andere manier werken simpelweg duurder is. Bedrijven redeneren nu eenmaal van nature vanuit hun eigen belang. Maar privacy gaat nu juist gaat om óns belang: het belang van de burgers, de klanten, de individuen.
Om de manier van denken van bedrijven te doorbreken zal er straks gehandhaafd moeten worden. Niet alleen gehandhaafd op de overduidelijke overtreders, de grote vissen, zoals Facebook of Google, maar ook op de kleinere partijen die hun eigenbelang te veel op de voorgrond stellen, en zo de markt verpesten voor partijen die de AVG niet alleen naar de letter, maar ook naar de geest uitvoeren. Handhaving, en de daarop onvermijdelijk volgende rechtszaken, zullen de kaders moeten stellen. Ook de politiek zal een uitspraak moeten doen over wat wel en niet legitiem is en wat wel en niet proportioneel is.
Wanneer er geen duidelijke en strikte kaders worden gesteld aan doelbinding en wanneer elk belang legitiem is, zal de hele AVG een wassen neus zijn. Dan zullen de gigantische investeringen die bedrijven op dit moment doen, om te voldoen aan de verordening niet tot wezenlijk verandering leiden. Dan is het puur een papieren exercitie geweest, waar allerlei privacy-consultants mooi aan verdiend hebben en zullen onze persoonlijke gegevens uiteindelijk nog steeds worden misbruikt. Dan zal er van onze privacy maar weinig overblijven.

Hoe nu omgaan met de AVG?

Je zult, en misschien heb je dit a lang gedaan, moeten nadenken over wat je allemaal vastlegt over personen. Over of dit allemaal nut heeft of dat je ook met wat minder je diensten aan klanten kunt leveren. Over of alle medewerkers en ketenpartners alle informatie moeten kunnen zien, die je hebt verzameld van personen. En over hoe lang die persoonsgegevens nog relevant zijn.
ZBC heeft hier duidelijke keuzes in gemaakt met zijn kennisbank. Uiteraard registreren we alles van de sessies van onze bezoekers. Ons doel is om hiermee business te verwerven. We zouden echter jouw en onze tijd verspillen, als we iedere bezoeker van de kennisbank zouden benaderen. Doel van de registratie is dus het voorkomen dat een follow up niet passend is.
Verder hebben we een strikt schoningsbeleid voor data van bezoekers.

  • Data van sessies die we niet kunnen koppelen aan een bezoeker, worden iedere nacht verwijderd.
  • Identificerende gegevens van bezoekers worden na een jaar inactiviteit verwijderd.
  • Na drie hard bounces worden abonnees verwijderd uit ons abonneebestand.
  • De mogelijkheid om je te registreren hebben we uit het systeem gehaald. Dan hoeven we ook geen user-id en wachtwoord op te slaan en hoeven we die dus ook niet te beveiligen. (Zie ‘Informatiebeveiliging is helemaal niet zo moeilijk’.)

Hiermee hebben we de privacy risico’s voor onze bezoekers teruggebracht tot een aanvaardbaar niveau. Met deze maatregelen en met de vastlegging van onze policy in dit artikel denken wij voldoende gedaan te hebben aan waar de AVG voor is bedoeld.

ZBC helpt organisaties die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren.
Bron:
Jaap-Henk Hoepman, ‘Klantgericht onze data stelen’. Het Financieele Dagblad. 17 november 2017.

 

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 27 mei 2018


One Response to “Omgaan met de AVG is koffiedik kijken”

  1. Romina schreef:

    Brilliant Jess and many thanks for the info

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *