Tijd om de AVG-bubbel door te prikken - Deel 1

29 oktober, 2020

Auteur Jan Bosma

De privacy professional: van keizer tot tandwiel

Ruim twee jaar na de inwerkingtreding kunnen wij privacy-enthousiastelingen met tevredenheid stellen dat de AVG tot meer dialoog en verhoogd bewustzijn heeft geleid. Misschien is dat nog wel het grootste goed van deze kaderwet, die verder inhoudelijk niet fundamenteel verschilt van z’n voorganger.

Het grote voordeel van deze bekendheid – veel mensen hebben het nu over de AVG – is ook meteen zijn nadeel: als het over privacy gaat, gaat het vaak alleen nog maar over de AVG. In zo’n beetje elke sector verwachten mensen op de werkvloer dat de AVG een hapklaar antwoord biedt op hun praktische vragen. Op zich geen probleem, zij hoeven het juridische landschap niet te kennen en moeten vooral hun eigen processen goed kunnen uitvoeren. Zorgelijker wordt het wanneer privacy professionals zich te veel op de AVG focussen, of hun rol in de organisatie niet duidelijk zien en innemen.

In deze blog wil ik je laten zien wat het gevaar is van tunnelvisie als het gaat om de AVG. Volgende week komt er een tweede blog online, waarin ik dieper inga op de rol die de AVG in het privacy-landschap inneemt.

Veel privacy professionals hebben last van tunnelvisie

Recente ontwikkelingen (de AVG, maar ook handelspraktijken van big tech en digitale criminaliteit) hebben privacy een terechte aandachtsimpuls gegeven. We hebben in Nederland een levendige privacy-dienstverleningssector en de meeste grote organisaties hebben nu specialisten in dienst. Het is makkelijk om met zo’n groot netwerk enthousiastelingen in een privacy-bubbel terecht te komen, of tunnelvisie te ontwikkelen.

Een voorbeeld: horecagelegenheden startten onlangs met het verzamelen van wat gegevens over bezoekers, om te kunnen ondersteunen bij bron- en contactonderzoeken in het kader van COVID-19. Het ging om dingen als naam, telefoonnummer en tijd van bezoek. Opeens klommen allerlei privacy professionals op de barricaden. Er was iets met gegevens en overheid en iedereen moest er wat van vinden. Ik weet zeker dat al die mensen al hun hele volwassen leven zonder morren hun naam en telefoonnummer opgeven als ze reserveren bij een restaurant.

Privacy is een kader, geen doel

Het lijkt er soms op dat privacy professionals zich zó op privacy richten, dat elke verwerking van persoonsgegevens of iets dat er op lijkt bij voorbaat verdacht is. Alsof het recht op gegevensbescherming een bijna absoluut recht is, waar je alleen aan kunt tornen met de goedkeuring van de betrokkene. Dat is onzin. Gegevensbescherming is geen doel, het is niet eens een middel. Het is een kader om één van de middelen (namelijk gegevensverwerkingen) evenredig te houden.

Richt je daarom altijd op het primaire doel van de organisatie of het project. Of je het nu leuk vindt of niet: geen enkele organisatie wordt opgericht om zijn gegevensverwerking goed op orde te hebben. Dat is ook een flutdoel om primair te hebben. Organisaties zijn er om zorg te verlenen, onderwijs te verzorgen, energie te leveren, voedsel te produceren, noem het maar op. Privacy is één van de vele kaders waarbinnen dat moet gebeuren, net als eerlijke handelspraktijken, sectorale best practices, arbeidsreglementen, en nog veel meer. De AVG zelf zegt het al: de verwerking van persoonsgegevens moet ten dienste van de mens staan.

Je kunt gegevensverwerkingen niet in totale afzondering van hun context beoordelen. Het heeft geen zin om iets over privacy te roepen, als je niet nadenkt over de reden waarom bepaalde informatie wordt opgevraagd.

Voorkom dus een tunnelvisie waarbij direct alle alarmbellen rinkelen als er een keer een persoonsgegeven wordt opgeslagen. Vereenzelvig je met het doel van de organisatie waar je voor werkt, zorg dat het in je vezels zit. Erken dat privacy slechts één van de vele kaders is waarbinnen je organisatie beweegt om dat doel te bereiken.

De privacy professional is geen keizer op een grote troon

Met enige regelmaat hoor ik voorbeelden van juristen die zich opstellen als Petrus aan de poort, die met de AVG in de hand bepalen of een proces door mag gaan of met een donderend ‘Neen!’ worden afgewezen. Of andersom beklagen privacy professionals zich over het feit dat ze zo laat worden betrokken bij processen en dat het lijkt of mensen op de vloer ze ontwijken.

Ben je privacy professional? Zeg mij na: ik ben privacy professional en de wereld draait niet om mij.

De privacy professional is geen keizer op een grote troon. Je collega’s hoeven niet op hun knieën op audiëntie te komen om te smeken voor jouw wasstempel van goedkeuring voor hun nederige plannetjes. Zoals al eerder aangegeven, gaat het om de primaire doelen van de organisatie. Daar wil jij aan bijdragen, dat wil je niet belemmeren door de hele tijd te roepen dat dingen niet mogen van de AVG.

Hoe moet het dan wel?

Het gros van de mensen die voor een organisatie werken zijn er om zich op het primaire doel te richten. Die denken niet bij elke stap die ze zetten na over wat het privacy poppetje ervan zou vinden. En als ze je wel raadplegen en drie keer met een ‘nee’ teruggestuurd worden naar de tekentafel, gaan ze je de vierde keer ontwijken. Je belemmert ze namelijk hun doel te verwezenlijken. Daarom is het zo belangrijk dat je je proactief opstelt en niet wacht tot mensen bij jou komen.

Erken jouw rol in de organisatie. Je bent er voor het primaire doel, net als de anderen. Je bent een tandwiel in een groot mechanisme dat goed moet draaien. Wees proactief en benader de mensen dicht op de processen, stel je behulpzaam op en denk mee over hoe jullie samen aan het gedeelde doel kunnen werken. Heb je drie keer goed geholpen, dan komen ze de vierde keer zelf.

Conclusie

Het privacy-vak is hartstikke leuk en we mogen de aandacht die er nu voor bestaat best koesteren. Tegelijkertijd moeten wij als privacy professionals niet naast onze schoenen gaan lopen, omdat er nu toevallig een hippe Europese wet in de spotlight staat. Of omdat mensen naar ons luisteren, omdat ze bang zijn voor een boete. Op het gevaar af al te zweverig te worden: je bent als privacy professional onderdeel van het grotere geheel en moet dus niet in afzondering daarvan handelen. In de volgende blog ga ik daar verder op in door de AVG in perspectief te zetten.

Terug naar het overzicht