Je kent het wel: die ene ambtenaar, projectleider of salestijger moet zijn of haar frustratie over de AVG even kwijt: “moeten we dit écht afstemmen met het privacyteam?” “Liever niet, die zullen het zeker nóg moeilijker maken!” Of misschien heb je zelf ook wel een negatieve kijk op de AVG ontwikkeld, nadat je tegen ingewikkelde privacyvraagstukken bent aangelopen op je werk. Ik hoor het in ieder geval vaak.
Vorige week liep ik een kennis tegen het lijf die ik al jaren niet meer had gezien (blame the pandemic ;)). Tijdens de gebruikelijke ‘chitchat’ kwam ook mijn werk ter sprake: “Jij zit in de privacy, toch? Vind je dat niet vervelend? Vanwege die privacy mag helemaal niets meer.” Dit inspireerde mij tot het schrijven over – misschien wel het meest hardnekkige – AVG-fabeltje.
Ik durf te stellen dat de AVG niet bij iedereen een even goede reputatie heeft. De AVG (in de volksmond: ‘de privacywetgeving’) staat bij velen bekend als een verordening die organisaties heel veel dingen oplegt, maar tegelijkertijd juist heel veel zaken ‘verbiedt’. Een ‘dealbreaker’ in sommige gevallen zelfs. Als je het mij vraagt is deze opvatting niet alleen op onwaarheden gebaseerd, maar is het ook erg zonde dat deze opvatting heerst. Waar komt dit eigenlijk vandaan? Verbiedt de AVG nu daadwerkelijk zo veel, of zit de vork toch anders in de steel?
Verbodsbepalingen AVG?
Laten we vooropstellen dat er eigenlijk slechts een paar echte verbodsbepalingen in de AVG staat. Namelijk het verbod op de verwerking van bijzondere persoonsgegevens en het verbod op profilering (geautomatiseerde verwerking van persoonsgegevens met het doel om een profiel samen te stellen over een individu). Ook is bijvoorbeeld de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) niet zomaar toegestaan. Die bepalingen bevatten echter randvoorwaarden en uitzonderingen, wat met zich meebrengt dat er onder bepaalde omstandigheden nog best veel mogelijk is. Er is niet één bepaling die voorschrijft dat een verwerking van persoonsgegevens onder geen enkele voorwaarde is toegestaan.
Zo mag je bijzondere persoonsgegevens (zoals gegevens over de gezondheid) wel verwerken als je daar een wettelijke grondslag voor hebt én een doorbrekingsgrond kunt aantonen (een soort van tweede grondslag). Voor profilering geldt dat dit soort verwerkingen enkel is toegestaan indien er aan bepaalde voorwaarden is voldaan, naast uiteraard een toepasselijke grondslag. Zo moet je bijvoorbeeld altijd een bezwaarmogelijkheid inregelen, apart van andere informatie. Wil je gegevens buiten de EER (laten) verwerken? Dan moeten er passende waarborgen zijn getroffen en dienen er bijvoorbeeld een Standard Contractual Clauses te worden gesloten met de partij, naast reguliere afspraken. Wil je meer weten over de verwerking van bijzondere persoonsgegevens? Lees dan mijn tweede blog. In dit Cuccibook lees je meer over doorgifte van persoonsgegevens buiten de EER.
De AVG geeft betrokkenen rechten en organisaties meer verantwoordelijkheid om zorgvuldig met (digitale) persoonsgegevens om te gaan. De bepalingen waar wij het over hebben in dit artikel zijn er dan ook om ervoor te zorgen dat er voldoende waarborgen worden getroffen voor een rechtmatige en verantwoorde verwerking van persoonsgegevens. Dat is uiteindelijk in het voordeel van ons allen, ondanks dat het voor organisaties wellicht soms voelt als een extra horde.
Wat biedt de AVG ons?
De conclusie is dat de AVG eigenlijk maar vrij weinig verbiedt. Kunnen we dan stellen dat de AVG ons juist veel te bieden heeft? Ik vind van wel. Door te voldoen aan de AVG kun je bijdragen aan het behalen van de strategische doelstellingen die je organisatie heeft opgesteld en op deze wijze de AVG, ofwel het voldoen aan de privacywetgeving, zien als een meerwaarde voor je organisatie.
Ter illustratie neem ik graag drie typen organisaties als voorbeeld:
Hoe kan het moeten voldoen aan de AVG dan waarde toevoegen aan deze organisaties? Laten we ons eerst eens focussen op het woord ‘moeten’. Is het eigenlijk wel een ‘moeten’, of is het juist een ‘kunnen’, of ‘willen’? Oké, je moet voldoen aan de basis, omdat je anders boetes kunt krijgen en je natuurlijk geen reputatieschade wilt oplopen. Maar is dat echt de reden dat je aan de AVG voldoet? Uit angst?
Iedere organisatie heeft een eigen ‘risk appetite’ (hoeveel risico ben je bereid om te nemen?) en daarmee een eigen prioritering (wat vind ik belangrijk?). Iedereen wéét wel dat privacy belangrijk is, maar hoezeer wordt dit meegenomen in de visie van het bestuur en de algehele organisatie? In plaats van angst te zaaien, kun je je juist focussen op privacy als meerwaarde voor je dienstverlening. Door als gemeente aan jouw inwoners te laten merken dat jij de bescherming van persoonsgegevens erg serieus neemt, krijg je meer tevreden inwoners en vergroot je het vertrouwen in de overheid. Een commerciële partij die haar klanten niet ‘doodgooit’ met ongevraagde reclame, maar hier juist netjes toestemming voor vraagt en met gepaste regelmaat reclames toestuurt, draagt bij aan de customer experience; het vertrouwen dat de gegevens in goede handen zijn en de gevraagde toestemming binnen de redelijke kaders inzet (dus niet doodgooien met reclames al heb je de toestemming hiervoor gekregen). En afsluitend voor de zorgverlener; bij een goede zorg voor een cliënt, hoort uiteraard de bescherming van diens persoonsgegevens. Niet alleen omdat hiervoor naast de toepassing van de AVG ook zoiets als medisch beroepsgeheim geldt, maar het grotere belang ervan, namelijk het vertrouwen van de cliënt/patiënt om zich vrijuit over eigen klachten en (geestelijke) gezondheidssituatie te praten zonder dat dat tegen zich wordt ingezet bijvoorbeeld in talloze (andere) situaties en omgevingen. In het verleden hebben zich – helaas – genoeg voorbeelden aangediend waar een zorgverlener niet zorgvuldig is omgegaan met de persoonsgegevens van haar cliënten, met alle nare gevolgen voor het privéleven van de desbetreffende cliënt.
Daarom wil ik graag aan alle lezers meegeven: laat privacy vóór je werken, in plaats van tegen! Privacy (en daarmee gegevensbescherming) levert namelijk een meerwaarde voor je dienstverlening en voor het behalen van je strategische doelstellingen. Food for thought: Wat zijn jouw strategische doelstellingen en hoe kan privacy bijdragen aan het behalen van die doelstellingen? Hoe krijg ik iedereen in de organisatie mee om dit als meerwaarde te zien?
Heb je vragen naar aanleiding van dit artikel, of advies nodig over de informatieplicht of ander verplichtingen in het kader van de verwerking van persoonsgegevens? De consultants van Cuccibu staan graag voor jou(w organisatie) klaar!
De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!
Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via: info@cuccibu.nl of +31 (0) 85 3030 2984.