De DPIA is uitgevoerd en er zijn geen hoge risico’s. Wat fijn! Iedereen – de FG, privacy officer en proceseigenaar – haalt opgelucht adem. Totdat de privacy officer een paar weken later verontrustende vragen krijgt. “We hebben alle gegevens uit de applicatie ook in een Excel staan, moeten we daar iets mee?” en “Is er een bewaartermijn voor e-mails met gezondheidsgegevens?” Wat blijkt? Er is een DPIA uitgevoerd, maar deze is uitgevoerd op de applicatie. Het proces dat buiten de applicatie loopt, is niet meegenomen.
Lees verderAls adviseur op het snijvlak van informatiemanagement, ICT, privacy en informatiebeveiliging heb ik deelgenomen aan festival ‘De Bedoeling’. Deze bedoeling werd georganiseerd door de VNG, het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, de Nationale Ombudsman en de Autoriteit Persoonsgegevens. Het festival was met name gericht op gemeenten en de meeste aanwezigen leken daar ook vandaan te komen.
AVG: wat bedoel je?
Mijn centrale vraag op deze dag was: ‘Wat is nou de bedoeling achter/van de AVG’. Een aantal zaken die mij zijn bij gebleven deel ik graag even.
Kramp door de AVG
Een term die gedurende de dag veel gehoord is, is “kramp”. Door een gebrek aan duidelijkheid schieten veel gemeenten in de kramp als het aankomt op de AVG. Enkele voorbeelden van deze kramp.
- AVG en de verwerkersovereenkomstgekte. Verwerkersovereenkomsten óf een variant daarop sturen naar iedereen waar je mee samenwerkt, ongeacht of er sprake is van een verwerker-verwerkingsverantwoordelijke relatie.
- Twijfel is nee. Op het moment dat iemand een vraag opwerpt met als strekking: ‘Mag dat van de AVG?’, direct nee antwoorden. Want? ‘Nou dat is altijd veilig’.
- DPIA op alles. Wanneer moet je nou precies een DPIA doen? Onduidelijk: dus dan maar op alle verwerkingen.
- De zwart-wit FG. Als FG heel strak in de leer zitten en geen ruimte laten voor gesprek om samen met de organisatie tot een oplossing te komen.
Meer met de AVG
Door deze kramp, krijgen privacy en de AVG niet alleen een ‘slechte’ naam, maar wordt (samen)werken onmogelijk. Iets wat volgens mij niet de bedoeling lijkt van deze wet. De wetgever en toezichthouder gaven tijdens deze AVG-dag ook aan dat er in veel gevallen meer mag dan nu gedacht wordt. Voor een groot deel een onterechte kramp dus.
Grensgebied van de AVG
Er is in de vertaling van de wet naar de praktijk een behoorlijk grijs grensgebied. Invulling geven aan dit grijze grensgebied kunnen we niet anders doen dan dicht bij de bedoeling blijven van de wet. Waar de grens van acceptabel dan precies ligt? Dat is niet duidelijk, maar de oproep die gedaan werd door de sprekers van de organiserende partijen tijdens de laatste sessie wel. We moeten met elkaar op zoek naar de grenzen, niet doelbewust overschrijden, maar aftasten, een beetje duwen en wellicht soms er net overheen. Uiteindelijk is het afwachten op jurisprudentie om de grenzen steeds duidelijker te maken. Wanneer we echter collectief in de kramp blijven zitten, komen deze uitspraken er nooit, dus kom in beweging.
Maak weloverwogen keuzes
Omdat er nog veel onduidelijk is, weet je niet altijd of je als gemeente het juiste doet. Dit is niet erg. Maar zorg dat de keuzes goed onderbouwd zijn. Maak gebruik van kennis in de keten, in de markt en binnen de koepels. Kom je er uiteindelijk niet uit of blijft de twijfel knagen? Dan kan ook de AP hier nog bij betrokken worden om een advies te geven.
Mijn interpretatie van de AVG
Uiteindelijk blijft er ruimte voor interpretatie, daarom heb ik het hier even niet over de bedoeling maar mijn interpretatie daarvan. Ik ben overtuigd dat privacy van burgers (of andere betrokkenen) een groot goed is, dat doordacht in de balans geplaatst moet worden met gemak, dienstverlening, zorgverlening, toezicht, etc. Het gaat er uit eindelijk om dat een klant goed geholpen is. Goed geïnformeerd is en dat zijn/haar privacy beschermd is. Dit is niet eenvoudig, maar met een pragmatische aanpak een stuk beter werkbaar te maken dan de kramp waar we nu vaak in schieten.
Ik ben altijd op zoek naar casuïstiek, zeker in het grijze grensgebied. Daarover ga ik graag met jullie in over gesprek. Hiernaast ben ik ook erg benieuwd wat volgens u de bedoeling is van de AVG.
Terug naar het overzicht
Gerelateerde publicaties
De expliciete benoeming van bewustwording als essentieel onderdeel van privacybescherming in de AVG wordt door velen geroemd. Gebruikers zijn tenslotte het grootste risico, of niet? Bewustwording is belangrijk, dat staat vast. Toch leveren privacycampagnes in de praktijk niet altijd op wat er van wordt verwacht. Hier drie belangrijke misvattingen aan ten grondslag.
Lees verder