Versterkt de AVG jouw privacy?

Persoonsgegevens alleen rechtmatig, transparant, doelgebonden, goed beveiligd en niet langer dan nodig verwerken en bewaren. Volgens deze en andere beginselen van de Algemene Verordening Gegevensbescherming dienen bedrijven en overheden vanaf 25 mei met persoonsgegevens om te gaan, op straffe van fikse boetes. Hoe organisaties de AVG interpreteren en implementeren loopt echter uiteen, laat onderzoek van Internet Society Nederland zien.

Beeld: Privacywet.nl

Werk je met persoonsgegevens? Dan zal de Algemene Verordening Gegevensbescherming, ook wel bekend als de GDPR (General Data Protection Regulation) je wellicht al de neus uitkomen. De opvolger van de Europese Richtlijn gegevensbescherming uit 1995 (waar de Nederlandse Wet bescherming persoonsgegevens op gebaseerd is) staat centraal op menig bedrijfscongres en in allerlei brancherapporten. Het geschetste beeld is vaak niet positief: 80 procent van Nederlandse bedrijven en overheden zou nog niet klaar zijn voor de wet, de overheid zou een ‘zorgenkindje’ qua databescherming volgens de Autoriteit Persoonsgegevens en maar 12 procent van de organisaties verwacht op de deadline van 25 mei klaar te zijn voor de nieuwe regels. De Nationale Privacy Benchmark laat echter ook zien dat een verantwoorde omgang met persoonsgegevens bovenaan de agenda zou staan bij de meeste organisaties.

Nieuwe verplichtingen en hogere boetes
Waarom houdt de AVG de gemoederen van bedrijven en overheden eigenlijk bezig? De reden is, kort samengevat: nieuwe verplichtingen en veel hogere boetes. De privacyrechten van Europeanen worden uitgebreid met onder andere het juridisch veelbesproken ‘recht om vergeten te worden’ en het recht om persoonsgegevens van organisaties ‘terug’ te krijgen om deze ergens anders onder te brengen (dataportabiliteit). Datalekken moeten waar mogelijk binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld worden en als persoonsgegevens verwerken risicovol is (gevoelige informatie over bijvoorbeeld gezondheid en etniciteit) dienen organisaties zogeheten privacy impact assessments te doen. Organisaties groter dan 250 medewerkers (en kleinere organisaties die structureel of bijzondere persoonsgegevens verwerken) dienen een register van verwerkingsactiviteiten bij te houden.

Facebook en Google aan het werk
De nieuwe (en bestaande) privacyrechten van Europeanen en data-verplichtingen voor organisaties gaan gehandhaafd worden met boetes oplopend tot 20 miljoen euro of vier procent van de wereldwijde omzet, welke het hoogste is. Gaan die boetes uitgedeeld worden? Er gaat in ieder geval genoeg dreiging van de volgens The New York Times ‘strenge regels’ uit om datagiganten als Amazon, Facebook en Google aan het werk te krijgen, zoals Internet Society Nederland eerder meldde. De eerste initiatieven om Europeanen hun privacyrechten te laten inzetten zijn al gestart: privacy-expert en jurist Max Schrems heeft met None Of Your Business ruim 300.000 euro verzameld voor mogelijke rechtszaken.

Boetes niet doorslaggevend
Nu 25 mei snel nadert, is het de vraag hoe organisaties met de privacyrechten en data-verplichtingen omgaan: hoe interpreteren ze de wet en passen ze de AVG in hun verwerking van persoonsgegevens in? Over die vraag boog sociologiestudent Joost Agterhoek zich voor Internet Society Nederland de afgelopen weken. Uit gesprekken met AVG-kartrekkers en functionarissen gegevensbescherming (‘fg’s’ zijn onder de AVG verplicht voor bepaalde organisaties) blijkt dat de wet verschillend wordt opgepakt en geïmplementeerd. En de torenhoge boetes zetten de AVG weliswaar op de agenda, maar zijn volgens de (merendeels anonieme) geïnterviewden niet doorslaggevend om ervoor te zorgen dat persoonsgegevens volgens de regels worden verwerkt.

Wat is passende beveiliging?
Het minimale doen om niet in de gevangenis terecht te komen, óf het beste jongetje in de klas willen zijn. Hoe organisaties met de nieuwe rechten en verplichtingen omgaan kan stevig variëren, merkt AVG-adviseur en partner bij Rent-a-DPO (een samenwerkingsverband van advocatenbureau Cordemeyer & Slager en consultancybureau Rent-a-CIO) Richard Kranendonk. De ruimte die de wet biedt, wordt zowel geprezen als bevraagd: een functionaris gegevensbescherming bij een telecomprovider wijst op de houdbaarheid  van een ‘techniekneutrale wet’. Een functionaris gegevensbescherming bij een incassobureau noemt echter de verplichte ‘passende’ beveiliging van persoonsgegevens: “Wat is passend? Jij bent verantwoordelijk dat als de Autoriteit Persoonsgegevens langskomt, data passend beveiligd is. En de Autoriteit Persoonsgegevens bepaalt wat ‘passend’ is.” Organisaties maken door de ruimte in de regels zelf afwegingen wanneer er aan een verplichting recht wordt gedaan, verklaart de telecomprovider-fg bouw je technische dure tools om alle mogelijke data aan een klant te geven, of laat je bijvoorbeeld loggegevens achterwege? “In het kader van haalbaarheid moet je keuzes maken met voldoende empathie voor de situatie van de klant.”

Privacy in de bedrijfscultuur
Willen de nieuwe regels voor persoonsgegevens echt tussen de oren van medewerkers komen te zitten, dan moet privacy onderdeel zijn van de bedrijfscultuur. De fg van een incassobureau zegt nu de vruchten te plukken van een cultuuromslag toen de organisatie compliant werd met de Wet bescherming persoonsgegevens. “Die cultuuromslag bereik je niet door met het vingertje te wijzen, maar door aan de hand van casussen te onderzoeken hoe je zaken oplost.” Voorheen werden er bijvoorbeeld uit routine te veel persoonsgegevens opgevraagd uit het BKR-register. “Het vinkje stond standaard op ‘alle gegevens’. Mensen zijn lui, dus dat vinkje bleef altijd aan.” Echter, zelfs als de organisatie doordrongen is van privacy, kunnen nieuwe regels tussen wal en schip belanden: na meer dan een half jaar lobbyen bij de bedrijfstop begon een van de respondenten de verplichtingen simpelweg met medewerkers in te voeren. Pas toen kwam het onderwerp op de directieagenda.

Het goede om te doen
Bedrijfscultuur en niet boetes zijn volgens de respondenten uiteindelijk doorslaggevend om de AVG daadwerkelijk te implementeren. “Benader je privacy in een bedrijf vanuit een boete, dan is het makkelijk te negeren: het risico dat je een boete krijgt is niet zo groot. Maar benader je privacy vanuit een bedrijfsethiek, het vertrouwen van de klant, je reputatie, dan zijn dat veel betere motivaties”, vat de telecomprovider-fg samen. Kranendonk heeft ook zijn bedenkingen over de handhaving van de AVG: “De Autoriteit Persoonsgegevens breidt uit naar zo’n 80 medewerkers en Nederland telt 100.000en midden- en kleinbedrijven.” Beter is het dat bedrijven snappen dat AVG-compliance ‘het goede is om te doen’, aldus Kranendonk: “Ik maak het persoonlijk en klein en zeg: stel dat jouw dochter iets online bestelt en een totaal onbekende partij haar vervolgens benadert? Persoonsgegevens gaan niet alleen over anderen, maar ook over jezelf.”

Commerciële kansen
Nieuwe regels betekenen voor organisaties vaak meer administratieve rompslomp en zo ook de AVG, aldus respondenten. De wet biedt echter ook commerciële kansen: een verwerkingsregister brengt niet alleen alle systemen en databases in beeld, het kan ook helpen om snel de herkomst van een datalek op te sporen, legt de telecomprovider-fg uit. Douwe Schmidt, community manager en AVG-projectleider bij de ethische smartphonefabrikant Fairphone, denkt er hetzelfde over. “Je gaat weer goed kijken naar wat je in huis hebt aan data. Door doelbinding en dataminimalisatie heb je wellicht minder gegevens met een specifieker doel en dat kan veel waardevoller zijn voor je bedrijfsvoering.” Schmidt wil niet voor niets wel bij naam genoemd worden: “Ik wil dat het publiekelijk bekend is dat Fairphone als verkoper van ethische telefoons de AVG serieus neemt.”

Problematische verdienmodellen
Commerciële kansen liggen niet voor alle dataverwerkende organisaties in de AVG verscholen: beginselen als doelbinding fietsen dwars door het verdienmodel van bijvoorbeeld data-analisten en data-marketeers heen, verwachten de respondenten. “Big data-analyse wordt een lastige tak van sport”, verwacht  Schmidt: “je weet van tevoren niet wat je doel van de analyse is, dat is juist het punt”. Maar in de publieke sector voorzien de fg van een incassobureau en Kranendonk ook allerlei problemen: wanneer gelden welke regels en waar staat alle data eigenlijk?

Op welke grondslag?
Datasystemen in de publieke sector (en daarbuiten) zijn ten eerste niet ingericht om aan de privacyrechten tegemoet te komen en zijn vaak verknoopt met andere organisaties, schetst Kranendonk: “stel, jij wilt je gegevens uit het patiëntendossier van een ziekenhuis gewist hebben. Dat ziekenhuis kan naast dat dossier nog een database van medische scans hebben en een factureringssysteem. Een verzekeraar vereist dat bepaalde (persoons)gegevens in een factuur staan. Er zijn zo allerlei gronden waarop een ziekenhuis persoonsgegevens niet hoeft te verwijderen als een patiënt daarom vraagt. Uitzoeken welke wettelijke kaders elkaar kruisen bij een verzoek om persoonsgegevens te verwijderen is voor organisaties een nieuw element.”

Het afdekken van grondslagen in de publieke sector biedt ook volgens de fg van een incassobureau ‘grote uitdagingen’: “Kijk naar het basisonderwijs. Scholen gebruiken Facebookgroepen om met ouders te praten, kinderen gebruiken apps in de klas. Op welke grondslag gebeurt dat? Als een leerkracht een foto van een leerling met de eigen smartphone deelt en de ouder vraagt inzage in het delen van dit persoonsgegeven, hoe ver reikt het beheer van de school over persoonsgegevens dan?”

Sociologiestudent Joost Agterhoek bracht voor Internet Society Nederland de implementatie en interpretatie van de AVG in beeld.  Reacties, vragen en tips die bijdragen aan zijn onderzoek zijn welkom op j.agterhoek@staff.isoc.nl.