ZBC Kennisbank

AVG is vooral een afweging en geen verplichting

 

Organisaties maken zich zorgen over de AVG. Ze moeten hier in mei 2018 aan voldoen. Vaak echter zijn die zorgen onterecht. De AVG is er namelijk primair om een vrij verkeer van persoonsgegeven mogelijk te maken.

Niet voor niets begint de AVG in artikel 1 met de bepaling: 

“Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” 

Dit betekent dat de AVG ervoor is om inbreuk mogelijk te maken op het recht op privacy, zoals dit is vastgelegd in de grondwet. Wanneer er geen inbreuk toegestaan zou zijn, zouden ieder sociaal verkeer, elke samenwerking en alle dienstverlening onmogelijk zijn. In zo’n wereld willen we toch niet leven? En dus is inbreuk vanzelfsprekend.

Het gaat om de afweging van belangen

Centraal in de AVG staat de belangenafweging, die je als organisatie moet maken, als het gaat om persoonsgegevens. Aan de ene kant zijn er de belangen van degenen om wiens gegevens het gaat. Er moet worden voorkomen dat:

  • de persoonlijke levenssfeer van deze betrokkenen wordt aangetast;
  • betrokkenen schade leiden.

Daartegenover staat het belang dat betrokkenen doorgaans hebben om correct en zorgvuldig  door de organisatie te worden bediend. Daarbij maakt het niet uit of die organisatie zorg, onderwijs, publieke voorzieningen, veiligheid of aankopen levert. Er moet natuurlijk wel sprake zijn van een belang.
Aan de andere kant zijn er de belangen van de organisatie die de persoonsgegevens verwerkt. Meestal liggen die opgesloten in de missie van de organisatie. Voor de meeste organisaties is naast het leveren van een goede en correcte dienst beheersing van de kosten een groot belang.
Wat een rol speelt, is de omvang van de gegevensverwerking. Als het gaat om grote hoeveelheden gegevens, dan wordt, als die gegevens op straat komen te liggen, ineens de privacy van heel veel mensen geschonden. Van organisaties wordt daarom dan ook verwacht, dat ze gegevens adequaat beveiligen. Maar de AP zegt niet voor niets, dat het verlies van de ledenlijst van de hockeyclub niet gezien moet worden als een datalek, dat onder de meldplicht valt. Iedere organisatie moet dan ook zelf een afweging maken conform overweging 4 van de AVG:

 “Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.”

Het gaat hierbij nadrukkelijk niet om de letter van de wet (AVG), maar om de bedoeling. Want in artikel 1 staat immers, zoals eerder gezegd, dat de AVG er is om het vrije verkeer van persoonsgegevens mogelijk te maken en niet om dit te hinderen of te belemmeren. Kortom: ‘pas toe of leg uit’.

Het opzetten van een privacy managementsysteem

De AVG schrijft dus voor dat je deze belangenafweging moet maken. Je keuzes hierin moet je vastleggen in beleidsuitgangspunten. En hierover moe je transparant zijn. Vervolgens moet je passende maatregelen nemen en de naleving hiervan controleren.Wat de AVG dus van organisaties vraagt is het opzetten van een privacy managementsysteem, dat sterk lijkt op een ISO 27001 managementsysteem.
Bewerkers zijn dan snel klaar. Zij kunnen volstaan met zo’n ISO 27001 management systeem. Zij ontzorgen hiermee hun klanten en voldoen tevens  aan de AVG. (Zie ook ‘De gevolgen van de AVG 2018 voor bewerkers’.) Maar ook voor ‘verantwoordelijken’ is het nu niet zo moeilijk meer om volledig AVG compliant te zijn. Met de aanpak zoals die beschreven staat in ‘Je privacy op orde voor de AVG’, voldoe je in een vijftal sessies op papier aan de AVG. 

Net als ISO besteedt de AVG veel aandacht aan gecontroleerd afwijken (de meldplicht datalekken) en aan gecontroleerd veranderen via de privacy effect beoordeling. (Zie ook ‘De privacy effect beoordeling (PIA) kan niet wachten tot 2018.’) Het privacy managementsysteem moet je nu inrichten, zodat de procedures in mei 2018 werkend zijn. Vervolgens moet je dan  de actielijst nog afwerken. Doorgaans valt deze reuze mee. De inspanning hiervoor is meestal 1-2 weken.
Maar als dit je te veel moeite is, dan mag het AP je afrekenen op de AVG zelf. Niet voor niets geldt: ‘pas toe of leg uit’. Kortom, als je privacy serieus neemt, dan is het niet zoveel werk en vooral een kans. En als je de AVG op zijn beloop laat, dan loop je risico op een boete en reputatieschade en is de AVG een bedreiging.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 25 augustus 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *