ZBC Kennisbank

Privacy volgens de AVG is geen moeten maar willen

 

De race tegen de klok is intussen voorbij. Je moet nu aantoonbaar voldoen aan de AVG. Doe je dat niet, dan rekent de Autoriteit Persoonsgegevens (AP) met je af. Tenminste, dat is waar het nu over gaat, over de boete die je kunt krijgen. Maar wordt het niet tijd, dat we weer aandacht krijgen voor het doel van de AVG,  dat we de inbreuk op persoonsgegevens nu eens gaan reguleren?

Op onze cursus Privacy, die we twee dagen voor het verstrijken van de deadline gaven , waren de deelnemers heel duidelijk over wat ze verwachtten van de cursus. Ze wilden weten wat ze precies moesten doen om die boete van de AP te voorkomen. Na afloop van de cursus vertrokken ze opgelucht. 
Onze boodschap is al jaren dezelfde: ‘Privacy volgens de AVG is geen moeten maar willen.’ (Zie ook ‘AVG is vooral een afweging en geen verplichting’.) Wanneer je al jaren privacy serieus neemt, dan ben je nu grotendeels klaar voor de AVG. Je moet alleen wel vastleggen hoe je om wilt gaan met privacy en hoe je dat handen en voeten geeft. Eigenlijk moet je dus een korte beschrijving geven van wat je al jaren doet. (Zie ook ‘Privacy of bureaucratie is een keuze’.) De AVG zegt in overweging 4 over zichzelf dat ze geen absolute gelding heeft, maar dat het gaat om de afweging. Kortom, het gaat er dus om dat  je de keuzes vastlegt, die de directie maakt over hoe ze met privacy om wil gaan. (Zie ook ‘Pragmatische benadering AVG en privacy’.)

De rol van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft zich tot nu toe zeer passief opgesteld. En terecht. Door de inspanningen van juristen, consultants en de media is de AVG zo groot geworden, dat privacy een issue is geworden voor nagenoeg iedere directie tot en met het bestuur van de voetbalclub. Dat had de AP met haar clubje van 100 mensen zelf nooit kunnen bereiken. 
En ook nu, na 25 mei 2018, leunt de AP als toezichthouder op de privacy op haar (nergens op gebaseerde) reputatie van een gevaarlijke waakhond, die organisaties kan maken en breken met haar boetes. Die reputatie probeert de AP natuurlijk zo lang mogelijk te houden. (Zie ook ‘De wereld vergaat niet op 25 mei door de AVG’.)  
Het is daarom nuttig om eens te kijken naar een andere toezichthouder en hoe die aankijkt tegen het uitoefenen van modern toezicht. In Het FD stond op 13 april een interview met AFM-voorzitter Merel van Vroonhoven, dat werd gegeven na haar herbenoeming als voorzitter van de AFM. Als kop stond boven het interview ‘Afvinken van wat wel en niet mag en dan een boete opleggen? Dat is ouderwets toezicht’. 

Hoe kijkt de AFM aan tegen toezicht?

Van Vroonhovens belangrijkste opdracht de komende jaren is: vernieuwing van het toezicht, een beweging die zij in haar eerste termijn in gang zette. Het credo: de AFM moet problemen voorkomen en niet alleen pas ingrijpen als het misgaat. Van een toezichthouder die handhaaft naar een waakhond die gedrag en cultuur van bedrijven probeert te beïnvloeden. Van Vroonhoven: ‘De wereld om ons heen verandert razendsnel. Wat je niet wil, is dat je zo meteen goed toezicht kunt houden op Jurassic Park, terwijl de nieuwe ontwikkelingen aan je voorbijgaan. De digitalisering en de internationalisering van de financiële sector gaan veel sneller dan wij in 2016 incalculeerden. De invoering van nieuwe Europese kapitaalmarktregels en andere wetgeving uit Brussel noodzaakt ons tot meer samenwerking in Europa. Daarnaast stelt de snelle opmars van nieuwe technologieën zoals cryptomunten ons voor nieuwe uitdagingen.’

Uit het interview in het FD: 

Ook een toezichthouder moet leren van fouten

De AF raakte in de afgelopen paar jaar meerder malen in opspraak onder andere door falend toezicht in de derivatenkwestie. Heeft de AF daar iets van heeft geleerd?
 ‘Je bent verplicht om van je fouten te leren. Het bestuur let inmiddels veel sterker op de bemensing van projecten. En opdrachten met een hoog risico staan bij ons nu iedere maand op de bestuursagenda. Op verschillende fronten is tegenspraak georganiseerd in de organisatie’. 

Lukt het de AF zich niet meer voor ieder politiek karretje te laten spannen?
‘De politiek is een belangrijke stakeholder, maar we zijn geen onderzoeksbureau van de Tweede Kamer. We maken onze eigen afweging. Hebben wij de instrumenten en capaciteit om een probleem aan te pakken en zijn wij de partij die dit onderzoek moet doen? Ik vind dat de AFM nog relatief veel capaciteit besteedt aan problemen uit het verleden, zoals aflossingsvrije hypotheken. De focus moet meer naar het voorkomen van nieuwe problemen. Bijvoorbeeld door kredietaanbieders aan te spreken op hun verantwoordelijkheid leennormen na te leven.’

Handhaven anno nu

Op de strategie van vooraf voorkomen door beïnvloeding is ook kritiek. Het zorgt voor onduidelijkheid bij de onder toezicht gestelden. Zou de de AFM niet gewoon wetten moeten handhaven?
‘Handhaving is de hoeksteen van wat we doen, maar de effectiviteit van boetes is vaak beperkt en het kost ook veel van onze capaciteit. Alleen afvinken van wat wel en niet mag en boetes opleggen bij een onvoldoende vind ik een ouderwetse visie op toezicht. De wet is de basis van alles wat wij doen, maar met name ook de bedoeling van de wet. Daar moet je je als marktpartij aan houden.’

Is het niet aan de rechter om te bepalen of partijen zich houden aan de bedoeling van de wet?
‘Nee, dat is onze taak. Als iemand het niet eens is met onze beslissing, kan diegene altijd nog naar de rechter.’ 

De kritiek van accountants is juist dat u de strenge politieagent bent die boetes oplegt en onvoldoendes uitdeelt.
Van Vroonhoven: ‘Wij toetsen of accountants zich houden aan hun eigen controlestandaarden. Het heeft tot 2014 geduurd voordat in de sector het besef was doorgedrongen dat de kwaliteit van de controles echt omhoog moest. Daarvoor waren accountantskantoren vooral bezig met het bestrijden van die realiteit. Zij accepteerden niet dat zij onder toezicht stonden.’

Is dat nu anders?
 ‘Ja, bij verschillende grote kantoren merk je echt dat zij bezig zijn met een cultuuromslag. Zoiets kost tijd, maar we vinden wel dat het nog te langzaam gaat. In de toekomst willen we overigens ook meer aandacht besteden aan de verantwoordelijkheid van auditcommissies van de ondernemingen zelf.’  

Data analyse van belang voor preventie

Door de inzet van data-analyse en gedragswetenschap hoopt de AFM eerder te ontdekken of een financiële instantie of tussenpersonen gevoelig is voor integriteitskwesties. Zo wordt de bedrijfscultuur rond fouten geanalyseerd. Van Vroonhoven: ‘Bedrijven die fouten toestaan en daarvan leren, zijn meer solide dan bedrijven die dat niet doen. Dat laatste is voor ons een indicatie om alerter te zijn op de bedrijfsvoering.
De toezichthouder zet sinds twee jaar ook big data in en werkt daarbij samen met andere toezichthouders met het doel overeenkomsten te ontdekken in individuele gevallen en daar beleid op te ontwikkelen. De analyse richt zich op financiële gegevens, maar ook samenwerkingen met andere bedrijven of de samenstelling van het personeelsbestand.‘We ontdekken zo zaken waar we eerder nog niet echt naar keken’, aldus Van Vroonhoven. ‘Misstanden komen niet vanuit het niets. Door ze snel te onderscheiden is het mogelijk ongelukken te voorkomen.’ 
Gezien de veranderende werkwijze van de toezichthouder zou een daling van het aantal boetes niet vreemd zijn. De AFM zet sinds enige tijd meer in op het voorkomen van problemen, door instellingen via informele beïnvloeding tot actie te bewegen, dan op achteraf handhaven. De hoop is dat zo het arbeidsintensieve handhaven minder hoeft te gebeuren. 

Wat kunnen we nu verwachten van de AP?

Natuurlijk is ook de AP met haar tijd meegegaan. De AP weet ook dat de meeste artikelen in de AVG al 10 jaar oud zijn. Big data bestond nog niet bestond, datahandel kwam nog weinig voor en ook de cloud stond nog in de kinderschoenen. Privacy schandalen als met Facebook en Cambridge Analytics waren toen niet te voorzien en met de letter van de AVG valt hier ook niet tegen op te treden. (Zie ook ‘Privacywet is schitterende oplossing voor het verkeerde probleem’.) Het gaat om de bedoeling van de AVG en dat is het beschermen van persoonsgegevens tegen misbruik. De belangrijkste indicatoren voor misbruik zijn de cultuur en het gedrag van een organisatie, hoe de organisatie omgaat met de wet en in hoeverre zij bereid is om zelf haar eigen regels te handhaven. Als dit laatste niet het geval is, dan dreigt er een belangrijke ontsporing als het gaat om privacy schendingen. Voorbeelden zijn Facebook (zie ‘De AVG beschermt ons niet tegen de echte privacy risico’s’) en de belastingdienst (zie ‘Overheid weigert controle op inbreuk privacy’) en niet de schoonheidsspecialiste, de voetbalclub of de zorgboerderij die al jaren proberen netjes om te gaan met persoonsgegevens en deze vooral gebruiken voor het doel waarvoor ze zijn verzameld.
In die zin heeft de AVG gezorgd voor bewustwording van de zorgplicht die organisaties hebben als het gaat om het omgaan met persoonsgegevens. Die bewustwording  is belangrijk,  daar gaat het om. Als privacy ontaardt in bureaucratie dan heb je de AVG niet goed begrepen. De AVG is geen moeten maar willen. Het is een onderdeel van wie en wat je als organisatie wilt zijn in onze maatschappij en daar handel je naar door minimaal die persoonsgegevens goed te beschermen (zie ‘Informatiebeveiliging is helemaal niet zo moeilijk’) en door als directie niet alleen nu daar om te geven (zie ‘Awareness privacy en informatiebeveiliging niet trainen maar kweken’).

Bron:
Wouter Keuning, Bas Knoop, ‘Afvinken van wat wel en niet mag en dan een boete opleggen? Dat is ouderwets toezicht’. Interview in: het Financieele Dagblad. 13 april 2018.
ZBC helpt organisaties, die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 1 juni 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *