*PLOP* (dat was de AVG-bubbel)
In mijn vorige blog ging ik dieper in op het gevaar van tunnelvisie als het gaat om de AVG. In deze blog geef ik twee tips die kunnen helpen om privacy te benaderen als wat het is: een heel breed spectrum aan ideeën, regels, verwachtingen en ook fatsoensnormen. Daarin vormt de AVG maar een deel van je kaders.
Tip 1: eerst ethiek, dan compliance
De AVG geeft veel kaders in de administratieve sfeer. De wet stelt eisen op het gebied van registers, bewaartermijnen, risicoanalyses en meldplichten. Dat zijn duidelijke eisen waar je meetbaar naartoe kunt werken. Maar de AVG zet ook aan tot een aantal fundamentele vragen, bijvoorbeeld met betrekking tot de noodzaak en de evenredigheid van verwerkingsprocessen. Daar wordt vaak overheen gesprongen. In veel Data Protection Impact Assessments (DPIA) gaat de aandacht direct naar de vraag wat de risico’s van een verwerking zijn en hoe we die kunnen mitigeren (artikel 35.7 sub c en d AVG). De vraag naar de noodzaak en evenredigheid van de verwerking moet daar echter aan vooraf gaan (die staat ook al in artikel 35.7 sub b AVG).
De vraag naar noodzaak en evenredigheid van een verwerking behelst in essentie de vraag: moeten we dit wel willen? Het vergt kritische en eerlijke reflectie op je plannen. Je vraagt je af of de verwerking voldoende bijdraagt aan het bereiken van je doel, en of het niet op minder ingrijpende manieren kan. En zelfs áls het niet op een andere manier kan, vraag je je af of de verwerking in evenwicht is met de doelen die je nastreeft.
Camera’s in toilethokjes?
Een organisatie hangt camera’s op in toilethokjes om te monitoren of medewerkers daar niet stiekem andere dingen doen, zoals telefoneren of alcohol en drugs gebruiken. Op zich helemaal geen verkeerde doelen, helemaal niet als er notoir alcoholgebruik plaatsvindt en telefoongebruik leidt tot meetbare daling in productiviteit.
Maar toch: zelfs met een bewaartermijnenbeleid, duidelijke informatiebordjes, een verwerkingsregister en een FG denk ik dat er weinig mensen zijn die dit een goed idee vinden. Voor het monitoren van het gebruik van alcohol en drugs zijn er andere manieren. Voor het monitoren van het telefoneren waarschijnlijk niet. Maar het is alsnog de vraag of je het dan op die manier moet willen monitoren. Zo gek heb ik het gelukkig nooit meegemaakt, maar er zijn ook realistische situaties waarin de vraag aan bod komt of het middel in balans is met het doel.1
Privacy by design
Hoe later in het proces je deze vragen stelt, hoe pijnlijker het wordt als de conclusies tegenvallen. Dit is waarom privacy by design zo’n belangrijk uitgangspunt is. In de ontwerpfase kun je met veel minder kosten bijsturen, en een project annuleren is ook makkelijker in de brainstormfase dan na de proof of concept.
Het klinkt nu misschien alsof je alsnog de Petrus moet gaan uithangen, maar dat valt heel erg mee. Er zijn maar weinig organisaties die uitdrukkelijk tot doel hebben zelf beter te worden ten koste van de mens. De meeste organisaties willen echt een bijdrage leveren. Jij helpt met bovenstaande vragen te voorkomen dat ze hierbij uit de bocht vliegen en een ‘doel heiligt de middelen’-aanpak kiezen.
Tip 2: kijk breder én smaller dan de AVG
Het recht op gegevensbescherming is een fundamenteel recht. In de Europese Unie staat het in ieder geval in het Handvest van de grondrechten van de Europese Unie (Handvest EU) en in de AVG. Het wordt ook beschermd door het Europees Verdrag voor de Rechten van de Mens (EVRM).
Tegelijkertijd is het maar één van de verschillende fundamentele rechten die bescherming genieten in Europa. Om er maar een paar te noemen: het gelijkheidsbeginsel, vrijheid van meningsuiting, onschuldpresumptie2 en het recht op eerlijk proces. Gegevensverwerkingen moeten invulling geven aan al die rechten. Houd dus rekening met de impact in brede zin van verwerkingsprocessen.
De CoronaMelder
Een mooi voorbeeld is de CoronaMelder. De applicatie is het resultaat van een werkelijk knap staaltje privacy by design. Het ontwerp is zelfs zodanig dat je kunt beargumenteren dat de AVG niet eens van toepassing is. PMP keek bij het beoordelen van de DPIA op de applicatie echter verder dan AVG-compliance en woog ook af wat de maatschappelijke impact kon zijn van zo’n app. Bijvoorbeeld het verhoogde risico op preventieve quarantaine voor mensen met contactberoepen, terwijl die daar financieel juist harder door geraakt worden. Of het risico dat het actieve gebruik van de app voorwaarde wordt om publieke of private ruimten te betreden.3
Specifiekere kaders in sectorale wetgeving
Aan de andere kant moet je ook niet op de AVG leunen als dat niet nodig is. Sectorale wetgeving biedt meer specifieke kaders over gegevensverwerkingen dan de AVG. In de zorg heb je bijvoorbeeld de Wgbo, Wabvpz en Wpg die van gigantisch belang zijn. En als het gaat over je medewerkers, kun je beter naar het arbeidsrecht kijken dan naar de AVG.
Wat is de bedoeling van de wet?
Daarnaast gaat het niet alleen om kennis van de wet, maar ook om begrip van de bedoelingen. En empathie. De AVG vertelt je niet wat je als verpleger deelt met een bezorgde vriend aan het ziekenhuisbed, wat je als makelaar vertelt over de huidige bewoner of diens buren, of wat je als docent bespreekbaar maakt op de ouderavond. De sectorale wetten ook niet. Door in te schatten hoe iemand graag behandeld zou willen worden (en dat verschilt per persoon!), door je fatsoenlijk en empathisch op te stellen en door dialoog kun je soms tot mooiere oplossingen komen dan je te lezen krijgt in een juridische lijst regels. Als privacy professional moet je ook deze vragen kunnen stellen, maar vooral gebruik kunnen maken van de ervaring en intuïtie van de eerste lijn, en daarop durven vertrouwen.
Conclusie
Werken met persoonsgegevens is werken met personen. Als privacy professional moet je jouw rol in een organisatie begrijpen, de doelen van de organisatie helder voor ogen hebben, samenwerken met je collega’s en soms ook met klanten of andere betrokkenen. Daarbij is het niet de bedoeling dat je constant naar de AVG grijpt als religieuze gids, en al helemaal niet dat je die dogmatisch gaat toepassen. Jij werkt in een context, processen staan in een context en de AVG is opgesteld in een context. Vergeet niet je blik te verbreden en prik de AVG-bubbel door.
1 Bijvoorbeeld bij SyRI. Uiteindelijk heeft de rechter het hele proces in strijd met artikel 8.2 van het EVRM verklaard, en zich niet eens op de AVG gericht.
2 Gegevensverwerking kan daar een impact op hebben, bijvoorbeeld dat je in een rechtszaak moet aantonen dat je niks met een inbraak te maken hebt, omdat je toevallig in de buurt leek te zijn op basis van je locatiegegevens. Zie https://www.nbcnews.com/news/us-news/google-tracked-his-bike-ride-past-burglarized-home-made-him-n1151761
3 Zie onze second opinion op de DPIA: https://www.rijksoverheid.nl/documenten/rapporten/2020/08/19/second-opinion-dpia-coronamelder-app
