Sergej Katus
Sergej Katus
Partner Privacy Management Partners

Voornaamste doel van de nieuwe Europese privacywetgeving is personen beschermen tegen de keerzijde van de informatiemaatschappij. Sergej spreekt in deze context van ‘de milieuwetgeving van het digitale tijdperk’. “De wetgever wil bescherming bieden tegen misstanden zoals gegevensmisbruik, databasevervuiling, datalekken en cybercriminaliteit. Net zoals milieuvervuiling de kwaliteit van leven aantast, zo is ook de informatiesamenleving kwetsbaar. U en ik kunnen er flink last van krijgen als bedrijven en overheidsinstanties persoonsgegevens niet met zorg omkleden. Zelfs de Algemene Rekenkamer vraagt daar tegenwoordig aandacht voor. In 2014 bracht zij een rapport* uit over de schadelijke gevolgen van databasevervuiling bij de overheid.”

Pakket aan rechten

Iedere persoon is, met een grote hoeveelheid uiteenlopende persoonsgegevens, opgenomen in honderden tot duizenden databestanden. De AVG regelt indirect het ‘data ownership’ door te erkennen dat de zeggenschap over de persoonsgegevens ligt bij degene die het doel en de middelen voor de gegevensverwerking vaststelt.

Juridisch is hier overlap met eigendom. “De consequentie van die constructie is dat de AVG, iemand die zegt ‘dat zijn míjn gegevens’, ongelijk geeft. Je kunt hooguit zeggen ‘die gegevens gaan over mij’ en ‘ik heb recht op bescherming van die gegevens’”, legt Sergej uit. De AVG koppelt het ownership bovendien aan de bestuurlijke verantwoordelijkheid om op privacy te sturen. ‘Ownership’ moet dus ook begrepen worden als ‘goed huisvaderschap’.

De AVG koppelt het ownership bovendien aan de bestuurlijke verantwoordelijkheid om op privacy te sturen.

Wel is het zo dat onder de AVG iedereen over een pakket aan medebeheerrechten beschikt, die je tegenover iedere organisatie die ‘jouw’ gegevens verwerkt mag uitoefenen. Zo kent de AVG, naast het recht op inzage en correctie, bijvoorbeeld ook het recht op gegevenswissing (‘right to be forgotten’), wanneer gegevens hun uiterste houdbaarheidsdatum hebben overschreden.

Zo is er ook het recht op ‘dataportabiliteit’, voor als je overstapt naar bijvoorbeeld een andere werkgever of verzekeraar en je het gemakkelijker vindt om je dossier te laten overhevelen. Bovendien wordt de positie van het individu verder versterkt doordat organisaties er ook werkelijk voor moeten zorgen dat je ‘bediend’ wordt. Sergej: “Je hoeft bij wijze van spreken maar met je vingers te knippen en binnen vier weken moet het gevraagde geregeld zijn.”

License to operate

De AVG stelt daarnaast eisen aan organisaties op het gebied van legitimiteit, kwaliteit en veiligheid van hun gegevensverwerking en uitwisseling van gegevens met anderen. Besturen worden opgedragen om ‘privacy’ conform die eisen te managen, op een zodanige manier dat ze hier ook steeds verantwoording over kunnen afleggen (‘accountability’). Cruciaal hierbij zijn inventarisaties van risico’s en het vinden van de juiste mix van beheersmaatregelen om de gegevensverwerking in goede banen te leiden.

Organisaties die aan de AVG voldoen, verdienen vrijwel letterlijk ‘license to operate’. Ze schenden niet de privacy, maar respecteren die juist. De AVG beloont dat met groen licht. Sergej legt uit hoe dat omgekeerd is: “Zolang gegevensverwerking en informatieuitwisseling niet aan de AVG-criteria voldoen, staat het stoplicht op rood. Wie toch doorgaat, schept risico’s voor mens en organisatie. De AVG kent iedere gedupeerde recht op schadevergoeding toe, terwijl de organisatie bestuurlijke boetes riskeert tot 20 miljoen euro of 4% van de jaaromzet. Daarnaast spelen dan nog reputatieschade en herstelkosten.”

"Organisaties die aan de AVG voldoen, verdienen vrijwel letterlijk ‘license to operate’."

Privacyservices

Veel organisaties zien de nieuwe privacywetgeving als een belemmering van hun bedrijfsvoering en innovatie. Sergej belicht liever de andere kant. “De rechten die personen kunnen uitoefenen, noem ik ‘privacyservices’. Hieraan tegemoet komen is een vorm van servicegerichtheid. Bovendien wil ik met deze term organisaties ervan doordringen dat privacy niet iets is voor juristen of ICT’ers, maar dat het gaat om heel praktische zaken. Het inregelen van privacy is bovendien een verantwoordelijkheid van het bestuur en zou veel hoger op de agenda van bestuurskamers moeten staan.”

Toekomstvastheid

Dat de AVG een belemmering zou zijn voor innovatie spreekt Sergej dus stellig tegen. “Het thema heeft van zichzelf al zoveel innovatieve kracht in zich. Als je aan de wet voldoet, vergroot je het vertrouwen van je doelgroepen. Het is reputatiemanagement, je maakt je organisatie robuuster, efficiënter en klantgerichter. Als je dit goed oppakt ben je in feite op een heel gecoördineerde manier bezig met het oplossen van privacyvraagstukken, problemen waar de kranten vol van staan. Je maakt je organisatie als het ware ‘intrinsiek privacyvriendelijk’ en daarmee neemt de toekomstvastheid van je bedrijf enorm toe.”

Stokpaardjes

Het implementeren van de eisen die de wet stelt is een enorme klus en dat begint nu pas tot organisaties door te dringen. De deadline van 25 mei 2018 is volgens Sergej dan ook geen haalbare kaart. “Je ziet veel misverstanden rond privacy en de AVG. Ik denk dat het belangrijk is dat er een gezonde maatschappelijke dialoog rond het thema op gang komt en dat er betere publieksvoorlichting plaatsvindt over waar de AVG nu werkelijk over gaat. We moeten afstappen van de stokpaardjes en veel pragmatischer naar deze wetgeving kijken.”