Onzorgvuldige berichtgeving en complexiteit AVG verwarren

Vriend en vijand hebben de mond vol over de Algemene Verordening Gegevensbescherming. Terecht. De AVG betreft immers sleutelwetgeving voor de informatiemaatschappij, die de huidige privacyregels aanzienlijk aanscherpt en uitbreidt. Bovendien is het recht er niet voor juristen, maar voor dat deel van de samenleving, wat het tracht te regelen. In het geval van normering voor de omgang met persoonsgegevens is de doelgroep nogal breed. De AVG als algemene privacywet is vanaf 25 mei 2018 van toepassing op in beginsel alle bedrijven en overheidsorganisaties, de non-profit sector incluis.

Helaas doen indianenverhalen de ronde. Zo meldt een Internetbedrijf: ‘Organisaties die persoonlijke gegevens van meer dan 5000 data-personen per jaar verwerken moeten een Data Protection Officer (DPO) of functionaris voor de gegevensbescherming (FG) aanstellen.’ Onzin. De AVG hanteert geen getalsmatig criterium voor de aanwijzing van een FG. Weer andere berichtgeving houdt in dit perspectief halsstarrig vast aan het aantal 250 of beweert dat de grootschalige verwerking van persoonsgegevens als criterium geldt. Opnieuw onjuist.

Let overigens op het jargon: ‘persoonlijke gegevens’ bestaan in dit kader niet; wel persoonsgegevens. Verder is ‘data-personen’ juridisch bezien een fantasiebegrip. Hoe het wel zit?

Er geldt op grond van artikel 37 AVG een aanwijzingsverplichting voor een functionaris voor gegevensbescherming voor (i) iedere overheidsinstantie en publieke organisatie, (ii) organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit betreft, en (iii) organisaties die individuen op grote schaal ‘volgen’ en dit een kernactiviteit betreft.

Daarmee zijn we er niet. De EU-lidstaten hebben de bevoegdheid om desgewenst ook andere situaties te bepalen, waarin een FG verplicht is (artikel 37 lid 4 AVG). Het is nog niet bekend of dit in Nederland gaat gebeuren. Ondertussen heeft de Artikel 29-werkgroep van de verzamelde Europese privacytoezichthouders op 5 april 2017 de definitieve Guidelines on Data Protection Officers gepubliceerd, die meer uitleg geven over de FG. Huiswerk dus.

Echter ook zonder wettelijk voorschrift kan aanwijzing van een functionaris voor gegevensbescherming plaatsvinden en goede diensten bewijzen. Het gaat om een persoon, die zowel over privacymaatregelen en de uitvoering ervan adviseert, als waakt. Let op – verplicht of vrijwillig – in beide gevallen geldt dat de FG zijn brede takenpakket op onafhankelijke wijze dient uit te voeren. Goed beschouwd is dit het meest onderbelichte aspect. Vanuit zijn onafhankelijke rol opereert de FG namelijk als interne toezichthouder. Dat zal voor mening bestuurskamer wennen zijn. Wanneer deze persoon in loondienst werkt (dat hoeft nadrukkelijk niet), heeft hij recht op ontslagbescherming.

Ondertussen heeft dezelfde bestuurskamer waarschijnlijk te weinig begrip van het juridische uitgangspunt van de nieuwe privacywet. Die luidt – evenals de huidige Wet bescherming persoonsgegevens – verrassend simpel. Persoonsgegevens mogen uitsluitend onder voorwaarden worden verwerkt. Daarbij moeten de algemene beginselen voor de gegevensverwerking in acht worden genomen: rechtmatigheid, behoorlijkheid en transparantie, doelbinding, dataminimalisatie, datakwaliteit, beveiliging en integriteit, en vertrouwelijkheid.

De condities waaronder zijn in de AVG echter wel aanzienlijk aangescherpt en uitgebreid. De aanleiding hiervoor vormt vooral het veranderde technologische vertrekpunt. Client/server heeft plaatsgemaakt voor Internet en online-diensten, grotendeels op basis van cloud computing, die plaats- en tijdonafhankelijk handelen (besturen, werken, zakendoen, consumeren, zorg verlenen en wat dies meer zij) mogelijk maakt.

De initiële eenvoud van de omgang met persoonsgegevens wordt in de AVG helaas uitvoerig, detaillistisch en complex uitgewerkt. Dat maakt tot een lastig stuk wetgeving. De eerder genoemde Artikel 29-werkgroep haast zich niet voor niets met nadere uitleg in de vorm van guidelines. Tenslotte gaat het om een Europees wetgevingsinstrument, met eigen karakteristieken. Centraal staat de rechtstreekse werking van de materiële bepalingen, maar desalniettemin vereist de AVG op een aantal punten een nadere regeling bij nationale wetgeving of maakt die mogelijk. Dat gebeurt in Nederland via de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Helder?

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *