De kern van de AVG is zorgvuldig omgaan met mensen

Gerrit-Jan Zwenne

Ontdaan van alle juridische uitwerkingen, is de kern van de privacywetgeving helemaal niet zo ingewikkeld. Het draait om het verantwoord en fatsoenlijk omgaan met gegevens van mensen. Als vanzelfsprekend onderdeel van je dagelijks handelen. Daarom is het wél belangrijk om permanent aandacht te hebben voor de AVG, maar moet je je vooral niet bang of gek laten maken.

Het is een geruststellende boodschap die Gerrit-Jan Zwenne wil meegeven aan mkb-ondernemers en bestuurders van verenigingen. De boodschap komt uit de mond van een autoriteit. Zwenne is al dertig jaar gespecialiseerd in privacywetgeving. Hij is al vele jaren hoogleraar op dit vakgebied aan de Universiteit Leiden en vanaf dit jaar ook verbonden aan de Open Universiteit. Bovendien kent hij de juridische praktijk vanuit zijn werk als advocaat bij het prestigieuze kantoor Pels Rijcken, waar hij partner is.

Serie: 5 jaar AVG

In het kader van 5 jaar AVG in Nederland publiceren we elke maand een interview met een expert op het gebied van privacy.

Deze maand is het de beurt aan Gerrit-Jan Zwenne, hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en hoogleraar Gegevensbescherming aan de Open Universiteit.

In het gesprek over 5 jaar AVG ligt de nadruk vooral op de achtergronden van de wet en de bewustwording over privacy. Als het erop aankomt, zijn die belangrijker dan wetsteksten. De AVG heeft geleid tot maatschappelijke bewustwording. En dat is goed. Met een juridische blik op de afgelopen jaren, oordeelt hij: ‘Het is een moeilijk rechtsgebied. In de wet staan veel open begrippen en vage normeringen. Begrippen als doelbinding en noodzakelijkheid lenen zich voor uiteenlopende interpretaties.’ Wil je als jurist opdrachtgevers goed kunnen ondersteunen, moet je na een pittige opleiding voortdurend ontwikkelingen, de rechtspraak en richtsnoeren uit Europa volgen. De AVG is geen gemakkelijke wet.

Kernwaarden  

Hoe ingewikkeld ook vanuit juridisch perspectief, hoe eenvoudig de kernwaarden die eraan ten grondslag liggen. ‘Je moet zorgvuldig omgaan met data over personen. Dat is in de praktijk ook vooral een zaak van gezond verstand. Daarmee kom je een heel eind. Een bestuur van een sportvereniging snapt heus wel dat je de gegevens van je leden niet zonder meer aan een sponsor kunt overdragen. Een loodgieter of bakker die even nadenkt, geeft zijn klantengegevens niet aan een ander bedrijf.’

Hij geeft kleine ondernemers als tip de richtsnoeren van de Autoriteit Persoonsgegevens (AP) te bekijken. Die helpen je vaak goed op weg. Denk er bijvoorbeeld aan dat de bouwer van je website goed let op de cookie-verplichtingen. ‘Als je Google-analytics installeert om het gedrag van je klanten in kaart te brengen, moet je zorgvuldig handelen. Als je aarzelt, vraag dan even advies, zoals je ook bij financiële aangelegenheden je boekhouder belt.’
Het wordt volgens Zwenne een heel ander verhaal als de kernactiviteit van je bedrijf het verwerken van persoonsgegevens is. Dan moet je veel preciezer aandacht besteden aan wat de wet eist. Zijn advies is kort en krachtig: ‘Haal er in dat geval een deskundige bij.’ 

Als je zorgvuldig met mensen omgaat, ga je meestal ook goed om met de AVG.’

Maatschappelijke aandacht  

Sinds de introductie van de wet ziet hij meer maatschappelijke aandacht voor het thema privacy. Met name door de meldplicht voor datalekken is het vaker een nieuwsonderwerp. Hij herinnert zich nog dat de eerdere privacywetgeving vrijwel alleen bij vakspecialisten op interesse kon rekenen. ‘Zelfs een uitgever van juridische handboeken zag er geen brood in. Dat is nu wel anders.’ De aandacht heeft ook een keerzijde. AVG is handelswaar geworden. Allerlei zichzelf benoemde deskundigen en adviseurs proberen er een slaatje uit te slaan. Ze bieden mkb-ondernemers voor veel geld hulp terwijl dat vaak niet nodig is. Zwenne hekelt bangmakerij waarbij wordt geschermd met zware boetes als percentage van de jaaromzet. ‘In veel gevallen zijn de voorbeelden niet realistisch als het om mkb-bedrijven gaat. Laat je dus niet gek maken.’

Tegelijkertijd geeft hij aan dat aandacht voor AVG geen eenmalige activiteit is. Bij de introductie vijf jaar geleden voorzag hij dat veel bedrijven en organisaties de nieuwe wettelijke verplichtingen zouden zien als het afvinken van een checklist. Zaken als aanpassing van de website regelen en dan weer snel over tot de orde van de dag. Dat is uitgekomen, oordeelt hij nu. ‘De wetgeving leent zich voor het zetten van parafen. Middel en doel zijn door elkaar gaan lopen. Uiteindelijk is het doel een zorgvuldige omgang met persoonsgegevens. Mensen moeten zich afvragen: is het nodig om deze persoonsgegevens te vragen en te registreren? En hoe gaan we er vervolgens mee om? Het is juist géén kwestie van vinkjes zetten. Het moet onderdeel zijn van je gewone handelen.’ Waaraan hij toevoegt: ‘Zo ingewikkeld is dat niet.’ Zijn vuistregel is heel eenvoudig: ‘Als je zorgvuldig met mensen omgaat, ga je meestal ook goed om met de AVG.’

Praktijkvoorbeeld

Hij noemt een praktijkvoorbeeld. ‘Een vereniging organiseert een diner en gezellige avond voor de leden. Daar wil je als bestuur in het clubblad of op de website verslag van doen. Bij binnenkomst meld je de gasten dat er een fotograaf is die voor dat doel foto’s maakt. Wie niet op de foto wil, kan de fotograaf of organisatie even aanspreken. Als organisator moet je er op letten dat zo’n foto niet wordt gepubliceerd.’ Zo eenvoudig kan die ingewikkelde privacywetgeving in de praktijk zijn, wil hij maar zeggen. Maak het niet moeilijker dan het is, maar ben wel zorgvuldig.

Een ander voorbeeld is de omgang met datalekken. De wet verplicht die te melden. Zwenne hoopt dat ook hier het gezonde verstand zegeviert. ‘Je hebt een mail gestuurd naar tien mensen en de adressen niet in de bcc gezet, zodat ze voor alle geadresseerden zichtbaar zijn. Formeel is dat misschien een datalek. In zo’n geval stuur je alle tien een excuusbericht en neem je maatregelen om herhaling te voorkomen. En je weegt zelf af of dit zwaar genoeg is om te melden bij de AP.’ 

Toezichthouder

Het gesprek komt op de Autoriteit Persoonsgegevens, de toezichthouder op de uitvoering van de AVG. Een aantal keren heeft die al van zich laten horen door forse boetes uit te delen. En ook met de klacht dat door de datalekken de werkdruk voor de medewerkers onverantwoord hoog is waardoor handhaving van de wet in het gedrang kan komen. De politiek heeft daarop het budget verhoogd. Dat vindt Zwenne op zich een goede zaak. Dat neemt niet weg dat hij ook kritisch is over de toezichthouder. ‘Dat is van mij bekend. Ik vind dat AP bij onvolkomenheden te vaak schermt met de bewering dat het een jonge organisatie is. De AVG bestaat weliswaar pas vijf jaar, maar toezicht op privacywetgeving dateert al van het eind van vorige eeuw.’

Daarnaast vindt hij dat de AP zich te vaak uitlaat over de wetgever en de rechtsgang. De organisatie zou zich moeten beperken tot haar kerntaak en dat is toezicht houden. In zijn ogen is AP vaak te activistisch, zeker in vergelijking  met andere toezichthouders zoals De Nederlandse Bank en de Autoriteit Consument en Markt. En dat doet afbreuk aan de geloofwaardigheid van de privacytoezichthouder. 

Rechtszaken

Terug naar de jarige AVG en de werking ervan. In zijn advocatenpraktijk ziet Zwenne dat rechtszaken over bijvoorbeeld het inzagerecht vaak voortkomen uit boosheid en frustratie. Als bedrijven of organisaties niet serieus omgaan met mensen en communicatie uit de weg gaan, leggen ze een voedingsbodem voor wantrouwen. En dat leidt tot juridisering die je zou kunnen voorkomen. ‘De AVG geeft burgers het recht op inzage van hun persoonsgegevens. Als daarnaar wordt gevraagd, kun je als organisatie defensief en geërgerd reageren omdat het heel veel werk is om dat uit te zoeken. Je kunt veel beter de dialoog aangaan met de aanvrager over de aanleiding van het verzoek. Vaak zul je dan zien dat ontevredenheid de bron is. Dáár moet je het dan over hebben.’ Dat kan een rechtsgang voorkomen waar niemand blij van wordt, wil hij daarmee zeggen. 

Toekomst

Tot slot vragen we Zwenne een blik in de toekomst te werpen. Hij ziet een aantal nieuwe uitdagingen aankomen als vervolg op ontwikkelingen vanuit het verleden. ‘Vijf jaar geleden verdiepten we ons in de gevolgen van Big Data en opslag in ‘de cloud’, nu moeten we nadenken over gegevensverzameling via drones, de rol van kunstmatige intelligentie en het spanningsveld tussen gezondheidzorg en privacy zoals die in de covidperiode naar voren kwam. Er komen nieuwe manieren van communiceren en data-uitwisseling waar de wet nog niet in voorziet. Europese wetten die de marktwerking moeten optimaliseren, eisen het delen van gegevens zodat consumenten gemakkelijker van leverancier kunnen wisselen. Dat gaat een grote wissel trekken op gegevensbescherming. Verschillende wetten zijn niet altijd consistent en in lijn met elkaar.’ Dat leidt tot de conclusie dat hoogleraar noch advocaat hoeft in te zitten over vermindering van de relevantie van het vakgebied en de rechtspraktijk. 

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Lees ook:

Privacy Statement: waar moet je aan voldoen?

AVG: wat zijn de regels?

50% websites slecht voorbereid op datalek

Consument vraagt om meer controle over persoonsgegevens

Meer nieuws

AVG OK-vignet: Een must-have voor elke privacybewuste organisatie

In een tijd waarin digitale privacy cruciaal is, toont het AVG OK-vignet aan dat jouw organisatie privacy serieus neemt en voldoet aan de AVG. Het laat zien dat je de juiste stappen hebt gezet om de gegevens van je klanten of leden te beschermen. Lees meer

Nieuwe AVG-verklaring op 18 september 2024

Het is weer tijd voor de AVG-Verklaring. Als er niets is veranderd, dan hoef je niets te doen. Is er wel iets nieuws, bijvoorbeeld een nieuwe medewerker of heb je nieuwe software, dan moet je dat vastleggen. Wij vertellen je er meer over in dit artikel. Lees meer

Vinted krijgt miljoenenboete voor schending AVG-regels

Het kledingplatform Vinted heeft een boete van bijna 2,3 miljoen euro gekregen van de Litouwse privacytoezichthouder SDPI. Het bedrijf heeft de Europese AVG-privacywet overtreden door niet goed om te gaan met verzoeken van gebruikers om hun persoonlijke gegevens te verwijderen. Lees meer