Meer muntstukken

Risico’s nieuwe privacywet schuilen in schemergebieden en probeersels

25 september 2017 Leestijd ± 4 minuten 142 views

Wat zijn de gevolgen van de nieuwe privacy- en gegevensbeschermingswet voor aanbieders van advies- en vergelijkingssoftware? Gerrit-Jan Zwenne, hoogleraar in Leiden en advocaat in Amsterdam, signaleert nog veel onduidelijkheden, zo liet hij weten tijdens een informatiebijeenkomst bij de Nationale Hypotheekbond.

Al sinds de uitvinding van de compacte flitscamera door Kodak, inmiddels meer dan 120 jaar geleden, woedt een maatschappelijke discussie over privacy en technologie. Toch is de komst van de Algemene Verordening Gegevensbescherming (AVG), die vanaf mei 2018 van kracht wordt, geenszins business as usual voor organisaties die werken met persoonsgegevens. De belangen zijn groot en het is op verschillende vlakken zoeken naar de juridische kaders. Volgens Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden en advocaat in Amsterdam, kent de wet nog tal van onduidelijkheden waarvoor verwerkers van persoonsgegevens moeten uitkijken.

Check van alle software
Ook adviseurs hebben met de gevolgen van de nieuwe privacy- en gegevensbeschermingswet te maken. Zij hebben immers veel data van hun klanten tot hun beschikking, die ze gebruiken in hun software. Het is belangrijk voor hen om na te gaan hoe de software daarmee om gaat. Dan kan het gaan om CRM-software, mail-progamma’s of hun website. Bijvoorbeeld: medische gegevens mag je maar een beperkte tijd bewaren. Maar voor een ORV vraag je wel op of de cliënt wel of niet rookt; dat is nodig voor de premieberekening. Het is voor alle adviseurs aan te raden de ontwikkelingen rondom de nieuwe AVG te volgen.

Hogere risico's
Verzamel niet meer persoonsgegevens dan nodig, pas op met bijzondere gegevens en wees duidelijk over waarom je data verzamelt en wat je ermee doet. In een notendop de adviezen die Zwenne meegeeft aan zijn gehoor in de bijeenkomst georganiseerd door de Stichting Contactgroep Automatisering in het kantoor van de Nationale Hypotheekbond in Diemen. Verandert er eigenlijk wel zo veel met de komst van de AVG? "Veel bepalingen gelden al", nuanceert hij. Wat wel verandert, is het risico voor bedrijven die de fout ingaan. Boetes van 20 miljoen euro of 4 procent van de groepsjaaromzet (afhankelijk welke van de twee hoger is) liegen er niet om. Ook is er sprake van nieuwe rechten voor burgers waarvan persoonsgegevens worden verwerkt, zoals verdergaande inzage- en vergeetrechten en de mogelijkheid om gegevens over te hevelen naar andere leveranciers (dataportabiliteit).

Positie Autoriteit Persoonsgegevens onduidelijk
Het vergeetrecht, zo doceert Zwenne, heeft het karakter van een ‘probeersel’ van de wetgever. "We weten nog niet goed wat het betekent voor de maatschappij." Hij neemt als voorbeeld verzoeken om zoekresultaten te verwijderen uit internet zoekmachines, een recht dat in 2014 door de rechter werd onderkend maar waarover nog heel veel onopgehelderd is. Ook wat de Autoriteit Persoonsgegevens (AP), waarvan nota bene Aleid Wolfsen sinds vorig jaar voorzitter is, gaat doen is nog onduidelijk. Hoewel de toezichthouder al sinds januari 2016 boetes kan uitdelen bij datalekken, is dit tot op heden nog niet gebeurd. "De AP lijkt vooral bezig te zijn met de publieke beeldvorming maar zal op enig moment wel een voorbeeld gaan stellen", denkt Zwenne. "Ik vermoed dat de eerste boete wordt opgelegd voor een onmiskenbaar groot datalek, waarbij bijvoorbeeld gezondheidsgegevens op straat komen liggen. De maatschappelijke verontwaardiging is dan groot en de toezichthouder staat mooi op de voorpagina van de Telegraaf.

Belangrijke uitgangspunten
Voor makers van advies- en vergelijkingssoftware zijn er enkele belangrijke uitgangspunten en regels. Zo moet een verzameldoel welbepaald zijn, gerechtvaardigd én duidelijk omschreven. Verder gelden de principes van proportionaliteit (is de inbreuk op de privacy in verhouding met het belang waarvoor gegevens worden verwerkt?) en subsidiariteit (kan ik mijn doel ook op een andere manier bereiken?). Opletten is het met bijzondere gegevens, zoals betreffende levensovertuiging, seksuele geaardheid, politieke voorkeur, etniciteit, strafbare feiten, maar ook gezondheid, biometrische gegevens en het BSN-nummer. Deze mogen alleen bij hoge uitzondering verwerkt worden.

Schemergebieden blijven
Voorzichtigheid valt in ieder geval aan te raden, want de AVG kent nog de nodige schemergebieden. Zelfs het klassieke 'smoelenboek' van een bedrijf op het intranet kan onderwerp van discussie zijn. Een pasfoto is immers een etniciteitsgegeven. "Daar schuurt het. Moet je zo'n smoelenboek dan maar verbieden? Als werkgever moet je toestemming vragen aan de werknemer, maar dat kan niet gemakkelijk in een arbeidsrelatie, omdat er daar sprake is van gezag." Het enige advies van Zwedde hier: mocht je een smoelenboek hebben als organisatie, laat werknemers dan in ieder geval hun eigen foto uploaden. "En maak er vooral geen punt van als zij dit niet doen."