4 jaar AVG - wat doen we er nog mee?
25 mei 2022, vier jaar Algemene verordening gegevensbescherming, dé privacywetgeving. 4 jaar later en waar staan we nu? Ik weet het nog heel goed, vrijdag 25 mei 2018, het voelde alsof de wereld die dag zou veranderen, maar wat is er nu écht veranderd?
Klein historisch tripje
1980 – de OECD Guidelines, de introductie van de privacy beginselen ten aanzien van de verwerking van persoonsgegevens (diezelfde beginselen die ook in de AVG terugkomen).
1995 – fast forward, de inwerkingtreding van de Europese privacy richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, dé privacy richtlijn.
2002 – little more forward, de inwerkingtreding van de Europese privacy richtlijn betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, dé e-privacy richtlijn.
Oh ja, tussendoor nog de bestendiging van het fundamentele recht op gegevensbescherming in het Europese Handvest, de introductie van de Wet bescherming persoonsgegevens en de Europese Data Retention Directive. Goed, genoeg geschiedenisles. De conclusie, privacybescherming is niet ‘ontstaan’ op 25 mei 2018. Wel heeft de komst van de AVG het huidige bestel even goed doen schudden op zijn grondvesten. De toezichthouder kondigde het inperken van de ‘schandalige verzameldrang’ aan en waarschuwde voor de komst van draconische boetes, organisaties werd een vergaande verantwoordingsverplichting opgelegd ten aanzien van de gegevensverwerking en betrokkenen kregen de mogelijkheid om een klacht in te dienen bij de toezichthouder tegen een organisatie die persoonsgegevens van hen verwerkt. Genoeg om je zorgen om te maken dus in aanloop naar 25 mei 2018. Hoe heeft zich dit de afgelopen 4 jaar ontwikkeld?
Draconische boetes?
Dat valt in Nederland eigenlijk wel mee. Draconisch zijn de boetes niet te noemen. Maar is dat per se nodig om privacybescherming effectief te laten zijn? Zijn boetes hetgeen waar we op moeten focussen? Ik vind eigenlijk van niet. Ja, een boete heeft mogelijk een afschrikwekkende werking op organisaties, maar stimuleert niet die intrinsieke motivatie om goed te willen doen. Het biedt organisaties de mogelijkheid om zich te kunnen spiegelen. Het geeft inzicht in hoe de toezichthouder de normen in de AVG toepast. Maar is dat alles onmogelijk zonder boete? Normuitleg is sowieso een van de taken van de toezichthouder, dat kan dus ook zonder boetes, en daar zou de toezichthouder mijns inziens meer proactief op in moeten zetten. Eerlijk, je wordt toch ook niet kwaad op een puppy die zich misdraagt, als je hem nog niet geleerd hebt wat gewenst gedrag is? Bovendien is het ook geen gegeven dat de boete standhoudt, kijk maar naar VoetbalTV.
Verantwoordingsverplichting?
Als er iets is veranderd met de komst van de AVG dan is het wel de verdergaande verantwoordingsverplichting die aan organisaties die persoonsgegevens verwerken, wordt opgelegd. Het bijhouden van een register van verwerkingsactiviteiten, een datalekkenregister, kunnen aantonen dat voorafgaand aan de start van een gegevensverwerking eventuele hoge risico’s zijn afgevangen en ga zo maar door. Dit is waar organisaties vooral druk mee zijn geweest en mee zijn. Het vraagt nogal wat van de organisatie, weten wat er precies gebeurt met persoonsgegevens en waarom. Wat is eigenlijk het onderliggende proces? Welke leverancier gebruiken we eigenlijk bij de gegevensverwerking en nog belangrijker waar worden die gegevens opgeslagen? En wie is eigenlijk die proceseigenaar?
We zijn in een fase beland waar je ziet dat organisaties steeds vaker goed kijken naar de onderliggende governance structuur in de organisatie. Iets wat mijns inziens onontbeerlijk is voor een goed functionerende privacy huishouding in de organisatie. Wie is waarvan en waarom? Vooral omdat de AVG organisaties dwingt verantwoorde keuzes te maken waarbij ook ruimte is voor een risicoafweging. We weten immers inmiddels allemaal dat “het mag niet van de AVG” een argument is dat vaak onterecht gebruikt wordt, en hierachter eigenlijk schuilgaat dat het niet goed uitgezocht of uitgedacht is en dat er ook eigenlijk niemand van is of wil zijn. Maar hier is een verschuiving zichtbaar, organisaties willen het beter doen en willen meer risico gestuurde keuzes kunnen maken. Steeds meer krijgen organisaties grip op wat ze doen met de persoonsgegevens en waarom. Er ontstaat grotere vraag naar tooling die organisaties ondersteunt bij het op orde houden van de privacy huishouding en er ontstaat ook vraag naar toetsing van het volwassenheidsniveau binnen de organisatie ten aanzien van de mate van naleving van de vereisten uit de AVG. Niet alleen de vraag ‘hebben we een privacybeleid?’ Maar meer en meer: ‘zijn we in staat om op een uniforme wijze dit privacybeleid ten uitvoer te brengen binnen alle lagen van de organisatie?’ Organisaties raken vaker intrinsiek gemotiveerd om goed te doen, in plaats van “we moeten het even op orde maken want dé AVG”. Ze gaan de meerwaarde inzien van de verantwoordingsverplichting. Het is een hoop werk, maar het kan mijns inziens ook juist een unique selling point zijn. Uiteindelijk is het doel van de AVG de betrokkene in staat te stellen in control te zijn over wat er met zijn of haar persoonsgegevens gebeurt en daarbij is transparant zijn over wat de organisatie doet met de persoonsgegevens een van de belangrijkste elementen. Maar ja, dan moet je wel weten wat het eigenlijk is dat je precies doet.
Transparantie?
De kern van vele problemen is vaak gelegen in het gebrek aan communicatie. Dit geldt zeker ook in het geval van de AVG. Binnen de organisatie wordt het belang van naleving van de AVG niet goed uitgedragen en dus doen de bedrijfsonderdelen maar wat, er wordt niet goed geluisterd naar de achterliggende behoefte van de verschillende bedrijfsonderdelen en dus sluit het opgestelde beleid niet aan op de praktijk, maar er zijn vooral organisaties die terughoudend zijn met transparantie richting de betrokkenen. En dan bedoel ik écht transparant zijn. Dus niet “wij verwerken uw persoonsgegevens zorgvuldig en in overeenstemming met de wet”. Nee, wij verwerken deze persoonsgegevens van jou omdat we zonder deze gegevens niet in staat zijn om zus en zo voor elkaar te krijgen. Neem de betrokkenen mee in de waarom. Geef hen het vertrouwen dat de organisatie écht in staat is zorgvuldig met de persoonsgegevens om te gaan, maak het mogelijk dat er écht een weloverwogen besluit genomen kan worden door de betrokkene om de persoonsgegevens wel of niet te verstrekken. Inmiddels weten we ook allemaal wel dat een persoonsgegeven een vorm van een betaalmiddel is. Mijn informatie is wat waard voor de organisatie, maar andersom kan hetgeen de organisatie mij kan bieden, mij ook wat waard zijn. Ik wil graag dat krantenartikel online lezen. Vroeger moest je de krant kopen en hiervoor betalen met euro’s, nu kan je het artikel ‘gratis’ lezen online. Maar gratis is dat natuurlijk nooit, je betaalt met je persoonsgegevens en dat is niet erg, ik ben daartoe bereid, maar ik wil dan wel graag weten welke gegevens, waarom en vooral wat ga je er verder mee doen? Dan ben ik in staat de afweging te maken of het lezen van het artikel het me waard is of dat ik ervoor kies mijn persoonsgegevens niet hiervoor in te willen zetten. En zo zijn er nog tal van vergelijkbare voorbeelden te bedenken.
Transparant zijn betekent mijns inziens het vergroten van vertrouwen. Iets wat ook belangrijk is gegeven het feit dat de AVG de betrokkene de mogelijkheid geeft om een klacht in te dienen bij de toezichthouder als de betrokkene van mening is dat de organisatie met de gegevensverwerking een inbreuk maakt op de rechten en vrijheden van die betrokkene. Een klacht voorkomen is in mijn optiek vaak mogelijk. Er had wellicht beter nagedacht kunnen worden over wat en hoe de informatie over de gegevensverwerking verstrekt werd aan de betrokkene. Niet alleen vertellen dat de organisatie een grondslag heeft voor de gegevensverwerking, maar de betrokkene meenemen in welke grondslag dat dan is en bijvoorbeeld wat hierbij het belang is van de organisatie. Onduidelijkheid leidt tot vragen en dus soms zelfs tot klachten.
En hoe nu verder?
We raken na 4 jaar wel ook een beetje in een fase waarbij, als tegenhanger van de meer intrinsiek gemotiveerde organisaties, ik organisaties steeds vaker ook hoor vragen wat de pakkans is. Die kan ik wel plaatsen als ik kijk naar onze toezichthouder. Draconische boetes waren voorspeld, maar blijven uit. Interne onrust bij de toezichthouder werkt ook niet bevorderlijk. Volgens de Autoriteit Persoonsgegevens (AP) zelf is het grootste knelpunt het gebrek aan voldoende financiële middelen om de rol als toezichthouder fatsoenlijk te kunnen vervullen. Maar er is de afgelopen jaren ook ingeboet op daadkracht: zowel in absolute als in relatieve zin worden minder onderzoeken uitgevoerd of klachten afgehandeld dan een paar jaar geleden. Er lijkt dus ook zeker winst te behalen op de interne werkwijze van de AP. Erg zonde, want dit leidt niet alleen tot het uitblijven van handhaven in situaties waar dat nodig is, maar ook tot het uitblijven van normuitleg. Iets wat juist zo belangrijk is bij de AVG. Ik hoop namelijk dat de toezichthouder de komende jaren meer gaat focussen op het prijzen van best practices en daarmee de focus gaat verleggen. Uiteraard blijven handhaven waar dat nodig is, maar misschien nog wel beter, voorkomen dat handhaven nodig is door meer duidelijkheid te bieden over hoe organisaties invulling moeten geven aan de normen uit de AVG.
Maar begrijp me niet verkeerd, dit ontslaat organisaties geenszins van de inspanningsverplichting om ook zelf goed te willen en blijven doen! Focus op het goed inbedden van privacy processen, maar laat dit waar mogelijk vooral aansluiten bij reeds bestaande processen. Zie privacy niet als iets op zichzelf staand, maar laat het onderdeel zijn van de organisatie. Motiveer je medewerkers, alle medewerkers, en vergroot het bewustzijn ten aanzien van het belang van privacy en gegevensbescherming. Neem privacy mee in de ontwikkelfase van nieuwe diensten en producten, zodat het net zo vanzelfsprekend wordt als budget aanvragen voor een nieuw project. En bovenal, draag dit uit. Creëer een veilige omgeving waarin medewerkers zich gesteund voelen en luister. Luister naar je medewerkers, luister naar je klanten (en natuurlijk luister naar de toezichthouder) en dan weet ik zeker dat de wereld, in ieder geval op het gebied van privacy, er over 4 jaar weer een heel stuk mooier uitziet!
