ZBC Kennisbank

Privacy of bureaucratie is een keuze

 

In mei 2018 moeten bedrijven en overheden volledig voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De bedoeling van de AVG is om misbruik van persoonsgegevens door bedrijven en overheden te voorkomen. De boetes zijn hoog: maximaal € 20 mln of 4% van de jaarlijkse wereldwijde omzet. Iedereen is dan ook druk bezig zich op de AVG voor te bereiden.

Maar waar moet je dan eigenlijk precies mee bezig zijn? Wat zijn de inspanningen die je moet doen? Eigenlijk zijn er twee opties.

  • Wanneer je al jarenlang de privacy van betrokkenen respecteert en je dus al voldoet aan het doel van de AVG, dan zou niets doen voldoende moeten zijn.
  • Als je al jaren misbruik maakt van persoonsgegevens, dan ben je met de AVG in de hand in staat om dit voortaan op legale wijze te doen. Je moet het vanaf mei 2018 alleen doen volgens een goed gedocumenteerd en met allerlei waarborgen omkleed proces.

Het lijkt er dus op, dat er helemaal niets zal veranderen. Bedrijven en overheden zullen doorgaan met het met voeten treden van onze privacy. En daarmee zijn we weer terug bij de denkwijze van 20 jaar geleden. Toen kon je een ISO 9001 certificaat halen voor het produceren van betonnen zwemvesten. Voorwaarde was dat je dat deed volgens een goed gedocumenteerd en met allerlei waarborgen omkleed proces. (Zie ook ‘Het failliet van rule-based opvattingen’. ) De AVG zou echter meer moeten zijn dan een manier om met een ‘excellent’ proces onze privacy te schenden. Zelfs het verkopen van persoonsgegevens is toegestaan binnen de AVG. En dat wordt door velen toch gezien als de meest ernstige inbreuk, die gemaakt kan worden op de privacy. Tegenwoordig weten we echter dat alleen een risk-based benadering kan leiden tot succes. Enkel  via een risk-based benadering kan het doel van de AVG worden behaald.

Gerechtvaardigd doel

Volgens de AVG mogen persoonsgegevens alleen verwerkt worden voor een ‘gerechtvaardigd’ doel. Het belang dat je als bedrijf of instelling hebt bij de verwerking moet gerechtvaardigd zijn. Bovendien moet de verwerking (dus welke persoonsgegevens je verzamelt en wat je daar vervolgens mee doet) ‘proportioneel’ en ‘subsidiair’ zijn. Proportioneel betekent dat de mate van inbreuk die je pleegt op de persoonlijke levenssfeer in overeenstemming moet zijn met het belang dat hier mee gemoeid is. Subsidiair betekent dat je met een minder ingrijpende inbreuk  je doel niet kunt bereiken. Het probleem is dat slechts summier beschreven wordt wat ‘gerechtvaardigd, proportioneel of subsidiair’ is. Bedrijven en vooral ook overheden vinden al gauw dat hún doel volledig gerechtvaardigd is. Dat het verzamelen van nóg meer gegevens per definitie proportioneel is, omdat hun systemen dan nog efficiënter werken. Ze vinden ook dat het subsidiair is, omdat op een andere manier werken simpelweg duurder is. Bedrijven redeneren nu eenmaal van nature vanuit hun eigen belang. Maar privacy gaat nu juist gaat om het belang van de burgers, de klanten, de individuen.
Om die manier van denken te doorbreken zal er straks gehandhaafd moeten worden. Niet alleen op de overduidelijke overtreders, de grote vissen zoals Facebook of Google, ook op de kleinere partijen die hun eigenbelang te veel op de voorgrond stellen, en zo de markt verpesten voor partijen die de AVG niet alleen naar de letter, maar ook naar de geest uitvoeren. Handhaving, en de daarop onvermijdelijk volgende rechtszaken, zullen de kaders moeten stellen. Ook de politiek zal een uitspraak moeten doen over wat wel en niet legitiem is, wat wel en niet proportioneel is.

Privacy is wat anders dan de AVG

Als er geen duidelijke en strikte kaders worden gesteld aan doelbinding, en als ieder belang legitiem kan worden gemaakt, dan is de hele AVG een wassen neus. Dan leiden de gigantische investeringen die bedrijven op dit moment doen om te voldoen aan de verordening niet tot wezenlijk verandering. Dan is het puur een papieren exercitie geweest, waar allerlei privacy-consultants mooi aan verdiend hebben en worden uiteindelijk onze persoonlijke gegevens nog steeds misbruikt, zodat er van onze privacy maar weinig zal overblijven.
We moeten niet verwachten dat door de AVG onze privacy beter wordt beschermd. De AVG houdt net zo min iets tegen als een bordje ‘Verboden toegang’.
Ondanks de AVG blijven er nog steeds twee opties bestaan:

  • Je respecteert het grondrecht van privacy en je past dit zo goed mogelijk toe.
  • Je haalt voordeel uit het misbruiken van persoonsgegevens en dat wil je blijven doen.

De AVG is dus eigenlijk niet meer dan een wake-up call, die ervoor gezorgd heeft dat de privacy terecht hoog op de agenda komt bij bedrijven en instellingen. Maar het doel van de AVG wordt alleen bereikt, wanneer het niet gaat over de regeltjes van de AVG, maar over de belangenafweging die gemaakt moet worden. (Zie ook ‘AVG is vooral een afweging en geen verplichting’.)

Komt een man bij de dokter

Laten we dit illustreren aan de hand van een voorbeeld:
Komt een man bij de dokter en de dokter vraagt, hoe het ermee gaat. Zegt de man: ‘Voordat ik deze vraag beantwoord, wil ik graag weten of u mijn privacy wel conform de AVG respecteert.’ Dus graag wil ik van u weten:

  • of u mij mijn dossier kunt laten zien, zodat ik kan controleren of de gegevens correct zijn;
  • of u mij kunt vertellen hoe de verwerking van mijn gegevens wordt gedaan;
  • hoe u mijn gegevens beschermt;
  • wie allemaal inzage hebben in mijn gegevens;
  • hoe u ontdekt of onbevoegde inzage in mijn gegevens heeft plaatsgevonden.

Volgens de AVG zijn dit allemaal rechtmatige vragen. Maar je laat het toch wel uit je hoofd, deze vragen aan je huisarts te stellen, als je bij hem of haar op het spreekuur komt. Jouw belang is, dat je afgeholpen wordt van een kwaaltje, dat je hebt. En de dokter wil graag aan jou de zorg verlenen, die je nodig hebt.

Doe ff normaal

Jarenlang al wordt de zorg opgescheept met de verplichting om nauwkeurig aan dossiervorming te doen op straffe van het niet meer vergoed krijgen van de verrichtingen. Nu artsen hier aan voldoen, krijgen ze vanuit de AVG de verplichting om er heel transparant over te zijn. Vroeger werd alles wat ze te privacygevoelig vonden niet of vaag genoteerd, zodat er geen probleem was. Toe is bij wet vastgelegd dat deze zaken duidelijk opgetekend en verplicht gedeeld moeten worden. En ineens is er een privacy overtreding ontstaan. Kortom, de wetgeving heeft een probleem gecreëerd dat vroeger niet bestond. De arts die zich houdt aan de wet, wordt nu niet alleen opgezadeld met de regeldruk van die eerste wet, maar ook nog eens met die van de AVG. En dat alleen omdat de technocraten in Den Haag en Brussel al hun burgers en in het bijzonder zorgprofessionals wantrouwen, omdat er een voorbeeld genoemd kan worden dat een burger of arts ooit misbruik gemaakt heeft van vertrouwen.

Omgaan met de AVG

Het is natuurlijk een illusie om te denken dat Brussel terugkomt op het besluit om de AVG op 25 mei 2018 in te voeren. De kernvraag zit in de handhaving in Nederland door de Autoriteit Persoonsgegevens (AP). De AP zegt pas na mei 2018 te gaan handhaven. Dat is heel vreemd. Zoveel verschil zit er immers niet tussen de Wbp en de AVG en ook nu mag de AP al hogere boetes uitdelen. Heel waarschijnlijk wil de AP niet riskeren, dat er jurisprudentie komt over de proportionaliteit van boetes. Want de schade die voortvloeit uit een overtreding van de AVG zal doorgaans maar beperkt zijn. Een boete van tonnen voor een kleinere organisatie zal door de rechter al heel snel als buitenproportioneel worden gekwalificeerd. Als de AP nu gaat handhaven en dit wordt duidelijk, dan valt daarmee de dreiging van hoge boetes weg en zal de AVG mogelijk haar doel niet meer bereiken.

Pragmatische benadering AVG en privacy

Wat er in de toekomst waarschijnlijk gaat gebeuren, is dat de rechter gaat toetsen in hoeverre je voldoet aan de bedoeling van de AVG. En dus zijn er weer de twee keuze opties:

  • Je respecteert het grondrecht van privacy en je past dit zo goed mogelijk toe.
  • Je haalt bewust voordeel uit het misbruiken van persoonsgegevens.

Wanneer je kunt laten zien, dat je gekozen hebt voor de eerste optie (zie ‘Je privacy op orde voor de AVG’), dan zal de rechter een inbreuk op de privacy opvatten als een incident en kom je ermee weg. En daarvoor hoef je echt geen papieren tijger te creëren.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen. Ook geeft ZBC cursussen over privacy.
Bron: Jaap-Henk Hoepman, ‘Klantgericht onze data stelen’. In: Het Financieele Dagblad. 25 november 2017
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 11 november 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *