Onrust over de AVG

Aan de vooravond van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is zeventig procent van de MKB’ers er ‘nog niet klaar voor’. Ook sportclubs, scholen en huisartsen zitten te ploeteren met de nieuwe wettelijke vereisten. 

Advocaten en accountants, gemeenten en rechters moeten de naderende verplichtingen hebben zien aankomen, maar vermoedelijk bekruipt ook hen een zekere onrust of hun bestuurders en degenen die dezen in de arm hebben genomen het wel goed hebben gedaan. Zijn de verplichte registers klaar waarin staat welke persoonsgegevens voor welke doeleinden worden verwerkt en hoe zit dat met de Data Impact Assessment? Of zijn die in hun specifieke geval niet nodig? En wie wordt in hun organisatie benoemd tot Functionaris gegevensbescherming – is dat weer die oude privacyfunctionaris die altijd nee zei, of gaan ze op zoek naar een nieuwe?

Natuurlijk beseffen de meeste mensen wel dat de rechtsstaat moet reageren op de digitale revolutie. Volgens de EU is misschien wel de belangrijkste verandering die de AVG biedt dat voortaan alle bedrijven die persoonsgegevens verwerken van ‘data subjects’ die in de Unie wonen zich ongeacht de locatie van dat bedrijf aan de regels moeten houden. Dus ook Google, Facebook en Amazon. Sancties van maximaal 4% van de jaaromzet bij overtreding zijn in het vooruitzicht gesteld. Dat klinkt mooi. En weinigen zullen bezwaar hebben tegen de sterkere rechten van burgers om te vernemen of hun gegevens worden verwerkt, met inbegrip van het recht om gegevens te laten verwijderen (recht op vergetelheid) en om gegevens die op henzelf betrekking hebben op toegankelijke wijze te ontvangen (dataportabiliteit); en evenmin kan men tegen de grotere bescherming zijn tegen inbreuken, bijvoorbeeld omdat een hack van gegevensbestanden moet worden gemeld.

Maar bij uitstek juristen beseffen dat elke bladzijde regelgeving een andere kant heeft. Ik doel nu niet op het – bepaald niet irrelevante – punt dat het voor de MKB-ers en clubbesturen nog niet zo gemakkelijk is om personeel vrij te maken voor de benodigde aanpassingen of om geld daarvoor te reserveren. Ik doel erop dat de AVG kenmerken vertoont van wat Michael Power de ‘rituals of verification’ van de Audit Society noemde.1 In naam van verantwoording en controle worden eisen gesteld die onbedoelde en disfunctionele gevolgen voor de gecontroleerde organisatie hebben.

Het gevaar bestaat immers dat de AVG ertoe leidt dat het moeilijker wordt aan goede dienstverlening te doen. Misschien verhoudt gegevensbescherming zich net zo tot dienstverlening als privacy tot veiligheid. Een eerste voorbeeld is het recent door de Nationale ombudsman gestarte onderzoek naar de vraag wat burgers van de overheid mogen verwachten als het gaat om het bieden van maatwerk en dienstverlening in relatie tot het waarborgen en respecteren van de privacy. Volgens hem moet de overheid digitalisering in het belang van de gebruikers inzetten en niet alleen vanuit het gemak voor de overheid. Maar mag de Sociale Verzekeringsbank die volksverzekeringen en persoonsgebonden budgetten uitkeert – ook of juist aan mensen die alles wat met geld te maken heeft niet zo gemakkelijk vinden – het BKR-register raadplegen om mevrouw Jansen te helpen met haar pgb? Of is dat in strijd met haar privacy? En zo ja, hoe erg is dat?

Een tweede, niet-overheidsgerelateerd voorbeeld, betreft de vraag van ondernemingsorganisaties om een wettelijke grondslag voor het onderling uitwisselen van informatie over fraudeurs tussen sectoren. De Autoriteit Persoonsgegevens staat dat niet toe; dat mag alleen binnen een sector (bijv. de sector horeca). Zo zijn er ook vragen over de Privacy regelgeving bij zieke werknemers. De wetgeving voorziet vaak niet in een concrete grond om op te schrijven hoeveel iemand kan werken, bijvoorbeeld ten behoeve van planning, of mag vragen of iemand nog kan zitten of tillen. Zijn dit soort verboden wel de beste manier om te voorkomen dat mensen ten onrechte worden beschuldigd en dat vervelende ziekten op de werkvloer bekend worden?

Een derde voorbeeld betreft gewone beroepsbeoefenaren. Is de AVG van invloed op de beslissingsruimte van een dokter die het verzoek krijgt gegevens te wissen uit het medisch dossier (omdat de patiënt een kopie van dat geschoonde dossier wil voor een arbeidsrechtelijke procedure)? Het lijkt me een riskante ontwikkeling als het recht op gegevensbescherming tot gevolg heeft dat het criterium van art. 454 WGBO – dat de dokter gegevens opneemt ‘voor zover dat voor een goede hulpverlening noodzakelijk is’ – hierdoor zou worden belast met de eis van de facto toestemming van de patiënt. Maar in elk geval voorzie ik onvruchtbare conflicten over de vraag of de aantekening in het medisch dossier dat iemand tien jaar geleden in een psychiatrische inrichting was opgenomen, of problemen met alcohol had nog steeds noodzakelijk is.

Nogal wat specialisten in het gegevensbeschermingsrecht waarderen de open normen van de AVG, juist omdat deze de ruimte bieden het debat op te zoeken over de verhouding tussen gegevensbescherming en dienstverlening. Terecht. Maar de kans is groot dat vragen als de zojuist gestelde ertoe leiden dat die normen nader worden ingevuld door de Europese toezichthouders, de soft law van de branche of de interne regels van de functionaris gegevensbescherming of zelfs toch maar door de nationale regelgever. Er wordt gezegd dat veel vragen met gezond verstand zijn op te lossen en de voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, heeft al laten weten dat de nadruk niet ligt ‘op het beboeten van de korfbalvereniging als de welwillendheid er is om aan de regels te voldoen’.2 Dat is goed nieuws. Maar de vage onrust blijft dat wat bedoeld was om Google en Facebook te temmen zal leiden tot minder dienstverlening door de overheid en nodeloze problemen in de samenleving.

 

Dit Vooraf verschijnt in NJB 2018/941, afl. 19

 

  1. M. Power, The Audit Society. Rituals of Verification
  2. ‘Dekker probeert AVG-stress weg te nemen’, Binnenlands Bestuur 9 maart 2018. 
Ybo Buruma

Naam auteur: Ybo Buruma
Geschreven op: 14 mei 2018

Raadsheer in de Hoge Raad der Nederlanden

Reageer op dit artikel
Even geduld a.u.b.

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.