Wanneer ik in gezelschap vertel dat ik werk als AVG-consultant zijn de reacties vaak negatief: “Pff, dat is allemaal zo overdreven”. De AVG wordt ervaren als een belemmering en de achterliggende bedoeling ervan wordt meestal niet goed begrepen. Dat verbaast me niet. Hoe is dat negatieve beeld van de AVG ontstaan en hoe kunnen wij de beeldvorming als privacyprofessionals omdraaien? Dat vertel ik je in dit artikel.
Het is zwart of wit
Dat de AVG als een belemmering wordt gezien heeft een belangrijke oorzaak: het toepassingsgebied. Het is zwart of wit, er bestaat geen grijs. Bijna alles wat we doen in de huidige informatiesamenleving valt onder het regime van de AVG. Alleen voor huishoudelijke activiteiten is de AVG niet van toepassing. Advocaat-generaal van het Europees Hof Michel Bobek schreef hier een mooi betoog over, in zijn opiniestuk op de prejudiciële vraag van de Rechtbank van Midden-Nederland:
“Als ik op een avond naar een café ga en tegenover vier vrienden aan tafel in die openbare gelegenheid [waarbij ik dus waarschijnlijk niet voldoe aan de uitzondering van de persoonlijke of huishoudelijke activiteit van artikel 2, lid 2, onder c), AVG] een weinig vleiende opmerking over mijn buurman maak, waarbij ik ook zijn persoonsgegevens vermeld die ik zojuist per e-mail heb ontvangen (dus geautomatiseerd en/of opgenomen in mijn bestand), word ik dan de verwerkingsverantwoordelijke voor die gegevens en gelden voor mij dan ineens alle (nogal zware) verplichtingen van de AVG? Omdat mijn buurman nooit toestemming heeft gegeven voor die verwerking (verstrekken door middel van doorzending), en omdat roddel waarschijnlijk nooit een van de in artikel 6 AVG opgesomde legitieme gronden zal zijn, zal ik met die verstrekking onvermijdelijk een aantal bepalingen van de AVG schenden, waaronder de meeste rechten van de betrokkene zoals vermeld in hoofdstuk III.”
Dit klinkt gekscherend, maar hier zit daadwerkelijk een kern van waarheid in. De AVG is vrijwel altijd van toepassing en er staat verder geen afwegingskader in om onderscheid te maken tussen vormen van informatie-uitwisseling en een aantal (redelijk vergaande) basisverplichtingen.
We zijn doorgedraaid met de interpretatie van de AVG
Deze brede toepassing heeft tot gevolg dat het grootste gedeelte van de samenleving de AVG overdreven en betuttelend vindt. Op de werkvloer hoeft maar iemand te roepen: ‘’Maar mag dat wel van de AVG?” en een privacyofficer komt (niet onterecht) met een lijst basisverplichtingen aan. Wat is je grondslag? Wat zijn je bewaartermijnen? Heb je wel een privacyverklaring? Heb je dit al in het verwerkingsregister opgenomen? Voordat je het weet denken mensen: laat maar, hier heb ik geen zin in.
Regelmatig worden activiteiten daardoor gestopt. Wetenschappelijk onderzoek of het uitvoeren van een beleidsevaluatie bijvoorbeeld. Het gaat soms zo ver, dat er zelfs wordt gestopt met het versturen van verjaardagskaarten of het aanmaken van een smoelenboek. Dit allemaal op basis van de AVG – want ja: geen toestemming en het verwerken van een foto is een zogenaamd ‘bijzonder persoonsgegeven’. Deze strikte en vaak onnodige interpretatie van de AVG zorgt er terecht voor dat veel mensen de wet eigenlijk maar onzin vinden.
Het belang van de AVG
Dat is natuurlijk zonde, want de AVG brengt juist veel goeds en kan grote problemen voorkomen. Maar dan moet die zich wel richten op vraagstukken die daadwerkelijk impact hebben op de mens of op de samenleving. Enkele voorbeelden van gebeurtenissen met heftige menselijke impact zijn de moordzaak van Anne Faber, de zelfmoorden na het datalek bij Ashley Madison, de basjesklant die 236 dagen te lang vastzat door een ‘administratief foutje’ en de naaktbeelden van de Oranje-handbalsters op een pornosite na een saunabezoek.
Op maatschappelijk niveau zijn bekende voorbeelden het Brexit- en Trumpverhaal rondom Cambridge Analytica en de structurele discriminatie en profilering binnen de toeslagenaffaire.
Zodra ik mensen uitleg dat dit incidenten zijn die door goede AVG-naleving voorkomen kunnen worden, dan snapt iedereen wél waarom de AVG belangrijk is.
De oplossing: gebruik de Schaal van Erg!
Dus hoe zorgen we ervoor dat er onderscheid gemaakt wordt tussen onnozele AVG-problemen en échte privacyproblemen? In andere woorden: hoe zorg je ervoor dat organisaties en medewerkers vanuit een intrinsieke motivatie de AVG proberen na te leven? Gebruik de Schaal van Erg!
Ik zal eerst even uitleggen wat de bedoeling is van de Schaal van Erg:
Gegevensverwerkingen kunnen op dit 3×3 raster geplot worden. Je kent daarbij een score toe aan de mogelijkheid tot een negatieve privacyimpact op:
- mensniveau (X-as)
- bestuurlijk niveau (Y-as)
Wat is de potentiële impact?
Mensniveau
Op de X-as staan de persoonlijke risico’s. De score geeft de potentiële privacyimpact aan:
Score A
Grof gezegd vertegenwoordigt score A een beetje jeuk/lichte irritatie. Denk aan een verkeerd geadresseerde nieuwsbrief, een verkeerd verstuurde verjaardagskaart of een niet zo vleiende foto in de Whatsapp-groep van werk.
Score B
Bij een score B is er sprake van een noemenswaardig gevolg. Denk aan een verkeerde parkeerboete of bekeuring, dat per ongeluk op je werk bekendgemaakt wordt dat je ziek thuis zit met corona of een (in eerste instantie) onterechte afwijzing van je Wmo-aanvraag. Nu zitten hier ook gevolgen bij die echt wel serieus zijn, zoals de onterechte afwijzing van je Wmo-aanvraag, maar hierbij is het belangrijk dat er een mogelijkheid is om de gevolgen terug te draaien.
Score C
Bij een score C worden de gevolgen een stuk grimmiger. Hierbij gaat het bijvoorbeeld om:
- ernstige financiële schade (misschien zelfs faillissement)
- langdurige vrijheidsbeperking (denk aan het administratieve foutje)
- ernstig nadelige gevolgen door discriminatie in de gegevensverwerking (toeslagenaffaire)
- hevige reputatieschade (handbalsters)
- serieuze gedragsbeïnvloeding (Cambridge Analytica)
- ernstige of zelfs fatale lichamelijke schade – zoals in het geval van Anne Faber of de hack bij Ashley Madison
Bestuurlijk niveau
Op de Y-as staan de bestuurlijke risico’s. Nu is dat geen onderdeel van de AVG, maar toch is het als privacyprofessional belangrijk om dit mee te nemen. Als (juridisch) adviseur is het namelijk jouw verantwoordelijkheid dat de organisatie waarvoor je werkt geen AVG-schade oploopt. De opzet voor de beoordeling op bestuursniveau werkt hetzelfde als voor de privacyimpact op mensen:
Score 1
Bij een score van 1 krijgt een organisatie door een fout binnen een gegevensverwerking vervelende vragen van klanten, burgers of medewerkers.
Score 2
Bij een score van 2 is er sprake van zwaardere bestuurlijke impact. Er wordt negatief over de verwerking gesproken in het regionale nieuws, er is sprake van een ‘twitterstorm’, een medewerker wordt op non-actief gesteld of er komen vragen vanuit de Autoriteit Persoonsgegevens.
Score 3
Score 3 heeft serieuze, mogelijk zelfs desastreuze bestuurlijke impact. Bij incidenten kan de verwerking leiden tot het aftreden van een wethouder of burgemeester, faillissement (VoetbalTV) of boetes.
Hoe bepaal je de score?
Het scoren op de Schaal van Erg is, net als privacy, geen exacte wetenschap. Privacy is een sociaal construct en de heersende normen binnen een samenleving zijn bepalend voor de manier waarop ‘privacyschendingen’ worden ervaren. Een belangrijk construct in de wetsgeschiedenis van privacy is the reasonable expectation of privacy. De manier waarop ze daar in Amerika naar kijken vind ik heel mooi. Daar moet de reasonable expectation of privacy worden bekeken vanuit de bril van een common (wo)man. Oftewel, iemand die niet activistisch is, maar ook niet privacy-ontkennend.
Mijn aanpak? Zet een groep diverse mensen bij elkaar (met en zonder kennis van de AVG) en vraag ze om een proces of verwerking te scoren op basis van de Schaal van Erg. Als privacyprofessional is het van belang dat jij hier een begeleidende en faciliterende rol in hebt, bijvoorbeeld door ze uit te leggen wat AVG-risicobegrip precies inhoudt. Maar ook om te vragen naar voorbeelden en praktijkscenario’s in het geval er hoge inschattingen worden gemaakt. Risico’s moeten immers wel concreet en voorzienbaar zijn.
Het gemiddelde dat daaruit komt geeft een goed beeld van het daadwerkelijke risico. Gebruik hiervoor de voorbeelden uit de praktijk, zodat de groep beter begrijpt wat het AVG-risicobegrip precies inhoudt. Uit ervaring blijkt ook dat de uitkomsten bij het gebruik van gemiddeldes vaak hetzelfde, en dus herhaalbaar, zijn. Hierdoor worden de uitschieters automatisch gecorrigeerd en blijft er maar één ding over: gezond verstand.
En laat dat nou ook precies de bedoeling zijn van de AVG.
