ZBC Kennisbank

Pragmatische benadering AVG en privacy

 

Momenteel wijzen (zelfs gerenommeerde) juristen en consultants ons er te pas en te onpas op, dat er een boete dreigt, als we in mei 2018 niet voldoen aan de AVG. De maatregelen die ze voorstellen om zo’n boete te voorkomen zijn draconisch. Je zou je hele organisatie binnenste buiten moeten keren om er zeker van te zijn dat er niet nog ergens een klein onvolkomenheidje overblijft in het naleven van de AVG.

Stel je eens voor dat ze gelijk zouden hebben. Welk risico loop je dan? Risico wordt bepaald door de formule kans maal impact. De impact is dan de boete van de AP. Deze kan liggen tussen nul en het maximum bedrag. Omdat de AP sedert de verhoging van het maximum boetebedrag nog geen boetes uitgedeeld heeft, weten we dus niet wat een rechter eventueel als proportioneel zal beschouwen. Natuurlijk is er daarnaast nog de reputatieschade, die ook tot de impact gerekend moet worden. Maar dat is gevolgschade. Daar gaat de AVG niet over. Hierop komen we later nog terug.

Wat is de kans?

En dan de kans. Bij het bepalen daarvan, zit er een addertje onder het gras, of liever gezegd een grote boa constrictor. Als het gaat om de kans dat we de AVG overtreden, dan is deze vrijwel 100%. Op ieders privacy wordt dagelijks tientallen malen inbreuk gemaakt. Denk hierbij aan camerabewaking, pasjessystemen, online registraties, tracking cookies, social media, inschrijvingen als bezoeker, legitimaties, tracking van je telefoon en noem maar op. In Nederland gaat het op jaarbasis om meer dan 100 miljard inbreuken. De Autoriteit Persoonsgegevens (AP) heeft niet de mensen en middelen om te onderzoeken of deze inbreuken legaal zijn. Met deze kans het risico bepalen is dus zinloos. Laten we daarom uitgaan van de kans, dat u last heeft van de impact ofwel de kans dat juist uw organisatie een boete krijgt. Als we de zzp’ers even buiten beschouwing laten, dan zijn er in Nederland zo’n 350.000 bedrijven en overheidsorganisaties, stichtingen en dergelijke niet meegerekend. Uitgaand van de 100 miljard inbreuken per jaar mogen we ervan uitgaan, dat al deze bedrijven overtredingen hebben begaan en dus strafbaar zijn. De AP heeft een 80 medewerkers, waarvan nog niet de helft zich bezighoudt met controle op  naleving de AVG. De AP kan per jaar zo’n 1000 onderzoeken doen naar onregelmatigheden. Verder blijkt de gemiddelde boete rond de 10.000 euro te liggen. Ook krijg je als je een fout hebt gemaakt, vrijwel altijd eerst de gelegenheid om deze te herstellen. Hiermee is  alle ‘sense of urgency’ wel van directietafels verdwenen.
Wat de AP doet, is zware overtredingen opsporen. Dat betekent dat als je redelijk netjes omgaat met privacy, de kans om tegen een boete op te lopen verwaarloosbaar is.

Netjes omgaan met privacy: wat is de basis?

In het artikel ‘Hoe legaal de privacywet overtreden’ beschreven we al, dat privacy een grondrecht is en dat de AVG beschrijft hoe je hier op een nette manier inbreuk op mag maken. Belangrijk hierin is de belangenafweging. Die moet je dus in elk geval maken. Voor de betrokkene zijn de belangen, dat er geen inbreuk gemaakt wordt op zijn persoonlijke levenssfeer (bijvoorbeeld met het oog op discriminatie) en dat hij geen schade oploopt. Omdat de meeste organisaties werken met mensen, moeten vrijwel alle organisaties een zekere inbreuk maken op de privacy van mensen, vaak zelfs voortvloeiend uit andere wet- en regelgeving. Zo moet ieder bedrijf een kopie van het identiteitsbewijs van de medewerkers bewaren, terwijl hier een foto en het BSN (burger service nummer) op staan. Maar de wet gaat nog verder. In art. 6.1.f staat, dat ook het bedrijfsbelang een geldige reden kan zijn om inbreuk te maken op iemands privacy. Hiermee krijgt de AVG het karakter van pas toe of leg uit. Dit is sterk vergelijkbaar met de Code Tabaksblad, die 10 jaar geleden veel stof deed opwaaien. (Zie ook ‘Corporate governance geen kwestie van regelgeving maar van mentaliteit’.) Kortom, het inventariseren van de risico’s en de transparante afweging van de keuzes die je maakt op het gebied van privacy en die je vastlegt in een beleid, vormen het uitgangspunt voor hoe je omgaat met privacy en de AVG.

Netjes omgaan met privacy, hoe doe je dat?

De AVG gaat er van uit, dat je je privacy op orde hebt. Dat betekent dat je alleen bij veranderingen een privacy effect beoordeling hoeft te doen. Zo staat dat ook in de AVG beschreven. Doordat privacy vroeger echter veel minder een issue was, zijn er in organisaties nogal wat keuzes gemaakt die vanuit privacy perspectief onverstandig of zelfs onjuist zijn en is de huidige situatie vaak anders dan waar de AVG vanuit gaat. Het is daarom noodzakelijk om met de inzichten van vandaag opnieuw die keuzes te maken, waarbij ook het bedrijfsbelang meegenomen mag worden.
Dat begint met een inventarisatie welke persoonsgegevens verwerkt worden door de organisatie en welke belangen en risico’s er zijn voor de betrokkene, de organisatie en eventueel voor bewerkers. Bij risico’s is de vraag ‘Is dit erg?’ van belang. Als het risico (op inbreuk op persoonlijke levenssfeer en op schade) voor de betrokkene laag is, dan zal immers al snel het bedrijfsbelang (vermijden reparatiekosten) prevaleren. Verder is natuurlijk de missie van de organisatie van belang. Een zorginstelling werkt met zeer vertrouwelijke gegevens, maar als het gaat om de keuze tussen goede en tijdige zorg enerzijds en anderzijds de privacy, dan prevaleert uiteraard de zorgplicht. Dit moet dan natuurlijk wel worden vastgelegd in de beleidsuitgangspunten.
Dit alles betekent natuurlijk niet, dat je je niets van de AVG hoeft aan te trekken. Als de medische dossiers van alle patiënten van een ziekenhuis op straat komen te liggen, dan is er sprake van onbehoorlijk bestuur. Betreft het het dossier van één patiënt, dan is dit weliswaar pijnlijk, maar is het risico klein, dat hier bloed uit vloeit.
Wanneer je de risico’s in kaart gebracht hebt en je keuzes hebt vastgelegd, ga je vervolgens kijken of je maatregelen kunt nemen om de risico’s te verminderen, uiteraard rekening houdend met het bedrijfsbelang (kosten, tijd en behoud van flexibiliteit en efficiency). Deze exercitie resulteert in een interne norm en een verbeterplan. Als je dan ook nog beschrijft hoe je omgaat met veranderingen en afwijkingen en hoe je de werking en naleving van het geheel bewaakt, dan ben je in feite klaar voor de AVG.
De beschreven aanpak wordt weergegeven in het volgende schema:

Het verbeterplan is gericht op het voorkomen van incidenten, die heel nadrukkelijk impact hebben. Want als die zich voordoen, is de kans groot, dat de AP gaat handhaven en dat je dus tegen een boete op loopt. (Zie ook ‘Datalek is vaak juist geen menselijke fout’.) Vaak hebben dergelijke gebeurtenissen betrekking op het niet naleven van de principes van privacy by design en privacy by default. (Zie ook ‘Informatiebeveiliging is helemaal niet zo moeilijk’.)
Als je op de hier genoemde manier omgaat met de AVG, dan is de kans verwaarloosbaar dat je een boete krijgt, zelfs als je de AVG een beetje overtreedt.

In het artikel ‘Je privacy op orde voor de AVG’ gaan we verder in op de bovengenoemde aanpak en vooral op de uitvoering hiervan.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 9 mei 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *