Als je eerdere blogs van mij hebt gezien, weet je dat ik graag schrijf over de onterechte nadruk op de AVG bij gegevensbescherming. Die nadruk is een meerkoppig monster, en ik rust niet tot ik ze allemaal heb afgehakt. Tot nu toe ben ik vooral in gevecht geweest met de kop ‘nadruk op de AVG als motivator voor gegevensbescherming’. Vandaag wil ik me op een andere kop richten: de nadruk op de AVG als antwoordmodel op alledaagse vraagstukken.
Als je naar de AVG grijpt in alledaagse situaties, maak je in mijn optiek een juridisch vraagstuk van iets wat in de kern geen juridisch vraagstuk is. Daarvoor heb ik het nieuwe en zeer sexy begrip ‘onnodige juridificatie’ bedacht.1 Met een beetje pech vraag je dan een jurist om een vraag op te lossen die niet vanuit wetten beantwoord moet worden. Juristen gebruiken daar bijna altijd de verkeerde weegfactoren voor (namelijk juridische argumenten), waardoor je met vreemde en onbevredigende antwoorden wordt opgezadeld. En een factuur.
De AVG als antwoordmodel op alledaagse vraagstukken
Ik richt me op de gezondheidssector. De meeste organisaties waarvoor ik werk verwerken dus op grote schaal medische gegevens voor de zorgverlening. Of voor wetenschappelijk onderzoek. Dat brengt interessante vraagstukken met zich mee. Echt grote vragen ook, zoals verhouding tussen het medisch beroepsgeheim en de huidige ontwikkelingen rond onderzoek met big data. Of hoe je vlotte uitwisseling van gegevens faciliteert in ketenzorg terwijl je de regie bij de patiënt laat. Toch gebeurt het met enige regelmaat dat artsen of onderzoekers zich tot mij richten met vragen als de volgende:
‘Klaas van onze afdeling is ziek en we willen een kaartje sturen, mogen we zijn adres daarvoor gebruiken?’
‘Morgen geeft een gastspreker een presentatie. Mogen we die presentatie opnemen voor de mensen die er niet bij kunnen zijn?’
Dit zijn mensen die op dagelijkse basis de meest intieme gegevens verwerken zonder er wakker van te liggen. Maar als er een kaartje naar een collega gaat, moet opeens de jurist er iets van vinden. Ik weet niet waarom dat zo is. Het doet er ook niet zo toe, want uiteindelijk gaat het om het volgende: wat mij betreft is de mening van de jurist hier niet belangrijk.
Vallen die situaties dan niet onder de AVG?
Laten we het sturen van een kaartje als voorbeeld nemen. Dat is in bijna alle gevallen een verwerking die onder de reikwijdte van de AVG valt. In ieder geval het raadplegen van systemen om een adres te achterhalen. Ik kan daarom de basisprincipes van artikel 5 AVG langslopen en beargumenteren waarom je dat wel of niet mag doen. Maar mijn punt is dat een juridische uiteenzetting niet tot bevredigende resultaten gaat leiden, omdat juridische argumenten an sich ongeschikt zijn. Hoewel de verwerking dus onder de AVG valt, moet de AVG dus niet dicteren of je het wel of niet gaat doen.
(Leuk zijspoor: ik kan zowel beargumenteren waarom je het wel mag doen, als waarom niet. Over de immense grijze gebieden in de AVG en de subjectiviteit van juridisch advies zal ik in een andere blog meer schrijven).
Waarom fatsoensnormen beter werken bij alledaagse vraagstukken
Alledaagse vraagstukken zijn vaak kleine intermenselijke vraagstukken. Beslissingen die impact hebben op één persoon, of een klein groepje. Daarbij is de impact vaak verwaarloosbaar, bijvoorbeeld dat iemand een kaartje krijgt waar zij geen zin in heeft. Of dat iemand zich licht oncomfortabel voelt omdat hij tegen zijn zin met grote foto in de interne nieuwsbrief staan. Niet dat ik zulke gevoelens wil wegwuiven; ik vind echt dat je dat zulke impact moet voorkomen als je kunt. Maar dat is dus mijn punt: wat mij betreft gaat het vooral om wat de mensen die er daadwerkelijk mee te maken hebben ervan vinden. Niet de jurist of de toezichthouder.
We nemen het kaartje voor Klaas en de gastspreker als voorbeeld
- Stel dat Klaas een ontzettend attent en sociaal persoon is. Je weet wel, zo iemand die van iedereen op de afdeling de verjaardag onthoudt en die met dierendag een notentaartje meeneemt voor de kantoorparkiet. Iemand van wie je wéét dat hij een enorme opsteker krijgt van een lief kaartje. Wordt er dan iemand minder van als het eigenlijk niet helemaal binnen de wettelijke kaders past, maar jullie toch een kaartje opsturen?
- Stel nu dat Klaas juist ontzettend op zichzelf is, nooit iets meegeeft over zijn privéleven. Hij uit met enige regelmaat wantrouwen naar de werkgever en turft de dagen tot zijn pensioen af op zijn bureau. Kortom, iemand die alle manieren duidelijk maakt dat hij buiten werktijd zo min mogelijk met werk te maken wil hebben. Het enige dat hij met je kaartje gaat doen is proberen de postzegel opnieuw te gebruiken. Stel dat het heel duidelijk mag van de wet, moet je dan daarom deze Klaas een kaartje sturen?
- Hetzelfde geldt voor de presentator. Moet een jurist bepalen of je de presentatie mag opnemen? Stel dat de jurist vindt dat het mag, maar de presentator houdt daar niet van en wordt er zenuwachtig van. Is ‘het mag van de AVG, dus we nemen de presentatie op’ dan het juiste antwoord?
Ik denk dat het punt wel duidelijk is.
Let op, ik zit hier geen betoog te houden voor toestemming als verwerkingsgrondslag. Ik vind niet dat je alles altijd aan de ander moet vragen. Ik vind alleen dat de mening van de ander belangrijker is dan de mening van de jurist. Vaak kun je zelf prima inschatten wat de ander van jouw plan vindt. Twijfel je aan je inschatting? Vraag het dan wel even na.
En wat moet jij hiermee als lezer?
Ik nodig je vriendelijk uit hier eens over na te denken. Werk je in een organisatie en merk je dat privacypraat collegialiteit, of spontaniteit in bredere zin, in de weg staat? Probeer het gesprek aan te gaan over wat jullie van elkaar verwachten. En durf gewoon eens een dom kaartje te sturen. Vertrouw erop dat jij over genoeg sociale capaciteit beschikt om één op één communicatie aan te gaan zonder jurist. En dat het goed komt met jou en de ander, ook als je een keer een fout maakt. Pas wanneer de impact van een fout echt serieus wordt moet je serieus gaan nadenken, en misschien beleid opstellen. Of wanneer jouw actie een grote en onbepaalde groep mensen aangaat (zoals ‘de patiënt’, ‘de klant’ of ‘de leerling’). Dan heb je namelijk zo’n breed scala aan mensen dat het niet meer mogelijk is om voor een individu te bekijken of jouw plan gaat bevallen.
Ben je privacy pro? Wees je dan bewust van dit fenomeen en ga er niet in mee. Als jij je in dit soort alledaagse vraagstukken gaat mengen, bevestig je het beeld van mensen dat dit blijkbaar nodig is. Dat komt ons beroep niet ten goede, en daarnaast loop je dus serieuze kans om een antwoord te geven dat niet bevredigt. Dat kan weer tot gevolg hebben dat het respect voor jouw functie daalt, of dat mensen je simpelweg gaan ontwijken.
Ik wil privacy pro’s er niet toe aanzetten om nu heel hautain gaan roepen dat ze te belangrijk zijn om het over verjaardagskaartjes te hebben. Dat zijn we namelijk niet. We zijn er juist niet belangrijk genoeg voor. Het gaat om de ontvanger. Maar een mooie bijvangst is wel dat – als wij niet meer over verjaardagskaartjes hoeven na te denken – we het kunnen hebben over dat verrekte vraagstuk rond ketenuitwisseling van gegevens en patiëntregie. Daar valt namelijk genoeg over te vinden.
1 De eerlijkheid gebiedt mij te zeggen dat ‘onnodige juridificatie’ geen nieuw begrip is. In verschillende kamerstukken wordt het gebruikt in de betekenis dat een wetsvoorstel zou leiden tot onnodige groei in rechtsgang. Maar dat vind ik een saaie manier om het te gebruiken. Daarnaast: als ik hier niet had uitgelegd dat het begrip al bestond, zou ik waarschijnlijk wegkomen met mijn bluf dat het een nieuw concept is.