Overslaan en naar de inhoud gaan

2 jaar AVG: het gaat nu beginnen

Deze week was weer een mooi weekje voor de AVG. Veel media stonden stil bij de inwerkingtreding van de AVG, 2 jaar geleden op 25 mei 2018. De wet was al eerder van kracht, maar alle Europeanen kregen ruim de tijd om zich voor te bereiden, om zodoende vóór die beruchte 25-05-2018 te voldoen.
Amateur voetbal
© CC BY-SA 2.0 - Flickr.com
CC BY-SA 2.0 - Flickr.com

Die opzet was niet bepaald gelukt. Bedrijven werden te laat wakker, privacy-specialisten konden het werk niet meer aan en de toezichthouder (“AP”) deed er een schepje bovenop door paniek te zaaien. En erkende bovendien publiekelijk nog helemaal maar niet klaar te zijn. Ik heb er destijds ook een stukje over geschreven met als boodschap aan de voorzitter van de AP: “Wolfsen, wees geen wankele waakhond”.

Er bleken destijds ook heel veel misverstanden over de AVG te bestaan. Opmerkelijk, want inhoudelijk is de AVG voor wat betreft de gronden/redenen om persoonsgegevens te mogen verwerken helemaal niet zoveel veranderd. Maar u kunt zich sommige voorbeelden vast nog herinneren. Een greep:
•    de kerk die niet meer durfde te bidden voor afwezige, zieke gelovigen;
•    de school die kinderen met de rug op de schoolfoto zette;
•    de organisatie van een culinair event, waar aanwezigen een rode stip op hun hoofd moesten; zetten als ze niet op beeld wilden verschijnen; en
•    het misverstand dat de AVG niet geldt voor overledenen.

Op misschien de laatste na, allemaal voorbeelden in de categorie “vanwege de AVG”, die wat mij betreft zien op huis-, tuin- en keukengebruik van persoonsgegevens. En wat schetst mijn verbazing: afgelopen maandag staat in NRC nog steeds zo’n voorbeeld. Namelijk een voetbalclub die niet weet of ze nu wel of niet foto’s van leden mogen gebruiken. Waar ik destijds het bestraffende vingertje van Wolfsen over die kerk schrijnend vond, vind ik dat nu van dit voorbeeld.

Achter je oren krabben

Want in alle eerlijkheid: je mag hier je als nieuwsmedium echt wel even achter je oren krabben. En dit geldt temeer voor de voetbalclub zelf natuurlijk. Maar eigenlijk ook voor de geïnterviewde privacy-specialist, door nog inhoudelijk op in te gaan op de vraag of je als voetbalclub wel of geen noodzaak hebt voor dat gebruik.

Kom op mensen, dit is toch geen nieuws over twee jaar AVG? Het punt is inhoudelijk überhaupt niet nieuw, maar achterstallig privacy-onderhoud. En dit is natuurlijk niet waar een discussie over twee jaar AVG over moet gaan. Ik hoor de criticasters al denken: “nou Menno, waar dan wel over”? Over waar de AVG voor staat: gegevensbescherming, en waar de grenzen liggen of vooral niet moeten liggen. Ik geef u een paar voorbeelden die er wat mij betreft toe doen na 2 jaar AVG.

Met stip op 1 is natuurlijk Corona en de track & trace app. Dit raakt de fundamenten van de AVG en gegevensbescherming. Eén appathon heeft binnen één week een schat aan informatie en standpunten opgeleverd van zo’n beetje alle relevante privacy spelers in het veld. Inhoudelijk nog veel verschillen, maar we stonden er als alle spelers wel.

Meten met twee maten

Met die inhoudelijke verschillen, kunnen we deze lijn overigens wel meteen doortrekken naar bigtech. Want een punt waar ik me wel enigszins aan heb geërgerd in de discussie, is enerzijds het spugen op de Corona apps en de flagrante inbreuk die dat op ons gaan en staan zou meebrengen, terwijl we anderzijds zonder blikken of blozen al jaren accepteren dat de Googles en Facebooks van deze wereld precies weten waar we zijn en wat we doen. Toch een beetje meten met twee maten als je ’t mij vraagt.

Een tweede voorbeeld is de lijn vanuit de toezichthouder omtrent de grondslagen om persoonsgegevens te mogen gebruiken. De meest in de praktijk voorkomende grondslagen voor bedrijven zijn (i) uitvoering overeenkomst, (ii) gerechtvaardigd belang of (iii) toestemming. De AP heeft allereerst een sterke neiging om álles maar aan toestemming op te hangen. Door mij al vaker het failliet van de toestemming genoemd. En ten tweede: als toestemming dan de enig mogelijke route is, aarzelt de toezichthouder niet om deze rücksichtslos dicht te zetten. Neem de verhouding werkgever/werknemer. Voor het gebruik van bijzondere gegevens is toestemming doorgaans de enige oplossing voor de werkgever. Maar de AP blijft maar halsstarrig volhouden dat een werknemer nooit in vrijheid toestemming kan geven gezien de hiërarchische verhouding. Dat schiet dus niet op, en die grens moet wat mij betreft verlegd worden.

Een derde voorbeeld is het gebruik van smart technologies als blockchain en AI. In plaats van zoals hier in Nederland te piepen dat blockchain per definitie niet kan voldoen aan de letter van de wet (ik doel op gegevenswissing), moeten we een voorbeeld nemen aan Frankrijk. Die kijkt naar de ratio en geest van de wet, én komt met een oplossing voor de spanning tussen AVG en blockchain. En bij AI is het goed dat we - vanuit de AVG bezien - serieus stilstaan bij de vraag of de AI aanbieder een verwerker is, of stiekem misschien (ook) een verantwoordelijke. Anders gevraagd: heeft een AI aanbieder persoonsgegevens nu wel of niet nodig voor een eigen doeleinden, namelijk om z’n AI slimmer en beter te maken. Ik hoop dat de AP hier in haar onderzoek naar Smart Cities aandacht aan gaat besteden.   

En het laatste voorbeeld is de discussie over het boetebeleid van de AP. Gisteren had ik weer even een “mini-fittie” op Twitter met één van mijn – overigens zeer gerespecteerde – concullega’s. Het ging over de stelling of de toezichthouder, of de AVG zelf nog in de vingers moet krijgen, of de kunst van boetes uitdelen. Dit naar aanleiding van een scherpe opinie van nog een concullega in het FD.

Kortom, de roep om meer boetes. Ik maak hier een compliment aan Wolfsen, die in NRC deze week heel goed het beleid van de AP over de afgelopen 2 jaar heeft uitgelegd en verdedigd. En terecht stelt geen boete gedreven  toezichthouder te willen zijn.

Maar Wolfsen gaf daar ook een stevige waarschuwing: de AP is zo goed als op volle kracht, en zowel organisatorisch als inhoudelijk ingewerkt.

Kortom, het gaat nu pas echt beginnen. Ik heb er zin in. Game on!

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in