Tweede Kamerlid Rahimi: De AVG mag geen molensteen zijn

Hawre Rahimi

Het zijn twee duidelijke boodschappen die Tweede Kamerlid Hawre Rahimi afgeeft als we hem spreken over vijf jaar privacywetgeving AVG. Ten eerste: ga heel serieus met data om en wees niet naïef over misbruik. En ten tweede: laten we bij de beoordeling van wetten vooral kijken of ze in de praktijk ook tegemoetkomen aan wat ze beogen. ‘Laat de administratieve lasten die de AVG met zich meebrengt, geen molensteen om de nek van burgers en ondernemers zijn.’ Zijn grote betrokkenheid bij het onderwerp komt voort uit zijn persoonlijke achtergrond als politiek vluchteling, een studie informatica aan de Vrije Universiteit, IT-ondernemer en overtuigd liberaal.

Serie: 5 jaar AVG

In het kader van 5 jaar AVG in Nederland publiceren we elke maand een interview met een expert op het gebied van privacy. In deze eerste editie Tweede Kamerlid Hawre Rahimi.

Op de muur van zijn werkkamer staat een getal. Het verandert iedere dag. Op de dag van het vraaggesprek is dat 462. Het verwijst naar het aantal dagen dat hij voor de VVD in de Tweede Kamer zit. Het is meer dan een grapje. Er zit een filosofie achter. ‘Iedere dag stel ik mezelf de vraag: waarom ben ik ook alweer als Kamerlid begonnen? Wat kan ik vandaag proberen te fixen?’ Het past bij zijn persoonlijke geschiedenis en ondernemende geest. Rahimi kwam in 1989 vanuit een Koerdisch stadje in Iran naar Nederland, studeerde informatica en startte tijdens zijn studie een IT-onderneming. Binnen de VVD-fractie is hij woordvoerder Digitale zaken & Binnenlandse Zaken. Hij houdt zich bezig met thema’s als de digitale overheid, de informatiesamenleving, DigiD, identiteit (paspoort, basisregistratie personen en de Rijksdienst voor Identiteitsgegevens) en de Archiefwet. Hij is blij dat hij zich met deze zaken kan bezighouden; ze passen bij hem gezien zijn IT-achtergrond. 

Grondrechten

Onderdeel van zijn werkterrein is het verantwoord omgaan met persoonsgegevens, de kern van de vijfjarige AVG. ‘Dat is een uiterst serieuze zaak’, oordeelt hij. Als vluchteling weet hij hoe men binnen bepaalde regimes met gegevens over mensen kan omgaan en hoe ze misbruikt kunnen worden. Als IT’er is hij zich bewust van de technische mogelijkheden, als politicus van de gevaren van ongewenste koppeling van bestanden. ‘Digitalisering raakt democratische grondrechten en dus moet je er heel zorgvuldig mee omgaan.’

Tegelijkertijd heeft hij als ondernemer ook ervaren hoe hinderlijk wetgeving kan uitpakken. Hij hoort het geregeld in contacten met ondernemers, met name in het midden- en kleinbedrijf. Verstikkende regels, waarbij het de vraag is of ze het uiteindelijke doel dienen. Als mislukt overheidsproject haalt hij altijd de cookie-wetgeving aan. Iedere ondernemer met een website heeft ermee te maken. Bedoeld om de consument te beschermen, is het in de uitvoering misgegaan. ‘Bijna iedereen klikt automatisch op accepteren’, om daar direct aan toe te voegen: ‘Ik niet hoor!’ Hij vervolgt: ‘Wat heeft die melding dan voor zin? Wat heeft het opgeleverd?’ Dit is naar zijn idee een duidelijk voorbeeld hoe het niet moet. ‘Op deze manier neem je de materie niet echt serieus en heb je een schijnoplossing waar zowel ondernemers als gebruikers alleen maar last van hebben.’

De meest veilige data zijn data die niet bestaan

Uitvoering

Hoe beoordeelt hij in dit verband de AVG dan? ‘Wij zijn allemaal eigenaars van onze persoonlijke gegevens. Als we die afstaan aan anderen, bedrijven of overheden, moeten we erop kunnen vertrouwen dat ze niet worden misbruikt. Het is goed dat er goede wetgeving is.’ Hij is soms wel kritisch over de uitwerking in de praktijk. ‘De uitvoering kan doorslaan waardoor het een papieren tijger wordt.’ Dan lijkt op papier alles goed geregeld, maar schiet de werkelijke bescherming van persoonlijke gegevens tekort. In dit verband pleit hij niet alleen voor een goed beheer van (niet vervuilde) data, maar ook voor een gerechtvaardigd, veilig en correct bezit ervan. ‘Echter de meest veilige data zijn data die niet bestaan’, zegt hij wat cryptisch maar met een serieuze ondertoon. ‘Bedrijven en overheden zijn net hamsteraars. Ze willen zoveel mogelijk gegevens opslaan. Met alle mogelijke risico’s als datalekken en verkeerd gebruik tot gevolg.

De beste beveiliging is geen of alleen de minimale gegevens bewaren die nodig zijn voor de taak die uitgevoerd moet worden. De beste database die niet gehackt kan worden, is de database die niet bestaat. Instellingen zouden met hun data over personen net zo zorgvuldig moeten omgaan als met hun financiële gegevens.’ Hij is voorstander van het periodiek actief opschonen van bestanden. Dat doe je thuis ook als het goed is. ‘Dát is een zorgvuldige uitwerking van wat de privacywet beoogt. Dat is heel wat anders dan vinkjes zetten of je aan alle regeltjes hebt voldaan. Daarmee ben je er niet.’ 

Overheid

Sprekend over instellingen, wijst Rahimi nadrukkelijk ook naar de overheid. Het debat over algoritmes en de toepassing ervan is inmiddels in Den Haag een bekend thema. Hoe zorgvuldig brengen we de aanpak van fraude in de praktijk? Koppelen van databestanden kan tot ongewenste gevolgen leiden, hebben we kunnen zien. Hier speelt ook het belang van het opschonen van vervuilde bestanden. Achterhaalde data kunnen leiden tot geheel verkeerde conclusies over mensen.

Rahimi is stellig in zijn uitspraak: ‘Binnen de overheid zijn veel data niet op orde. Dat moet veranderen’. Hier legt hij een direct verband met de AVG, waarin nadrukkelijk het recht staat vermeld als persoon ‘vergeten te worden’. Je hebt als burger het recht dat jouw gegevens uit bestanden worden gehaald. Natuurlijk zit daar bij de overheid een beperking aan. Maar ook hier moet het verzamelen en beheren van gegevens gerechtvaardigd zijn en een duidelijk omschreven doel dienen. 

Het moet blijven gaan om het bestrijden van fraude en misbruik

Bureaucratie

Een verantwoorde toepassing van de wet is onderwerp van gesprekken die hij voert met de Autoriteit Persoonsgegevens. ‘Het is goed dat we de AP hebben’, vindt hij, al hoort hij in gesprekken met kleinere ondernemers ook kritiek op de wijze waarop de Autoriteit kan optreden als niet aan alle regeltjes is voldaan. ‘Belangrijk is, dat het moet blijven gaan om het bestrijden van fraude en misbruik.’

Hij wil ervoor waken dat ondernemers worden belast met bureaucratie die veel energie en geld kost. ‘De wet mag geen onnodige rem op ondernemerschap zijn. Dat is nooit de bedoeling geweest, zeg ik als liberaal en vanuit mijn ervaring als ondernemer. Ik ben niet zomaar voorstander van boetes. Als die er zijn, moeten ze proportioneel zijn en alleen als het echt nodig is. Dat is een onderwerp waarover de AP, politiek, bedrijven en instellingen het met elkaar moeten hebben. ‘Bij een evaluatie van de werking van de AVG is het belangrijk goed te toetsen op de doelstelling en hoe we die kunnen bereiken’, aldus Rahimi.  

Incidenten

Het Kamerlid heeft ook een boodschap aan zijn collega’s. ‘Nog te vaak is er sprake van incidentenpolitiek’, oordeelt hij, ‘zoals na berichten over grote datalekken.’ Hij ziet dat er dan Kamervragen en debatten komen, maar dat het onderwerp daarna weer snel naar de achtergrond verdwijnt. Terwijl het niet over die incidenten zou moeten gaan. Het zorgvuldig omgaan met persoonsgegevens vereist aandacht voor de structurele thema’s, zoals het gebruiken van algoritmes. Daarnaast is het belangrijk dat de politiek nadenkt over een verantwoord evenwicht tussen gebruiksvriendelijkheid van systemen en veiligheid. ‘Dat mag eigenlijk geen tegenstelling zijn. Het is van belang dat de wetgever bevordert dat systemen veilig zijn én dat burgers en ondernemers ze gemakkelijk kunnen gebruiken.’ 

Wat betreft die veiligheid waarschuwt hij, vanuit zijn vakgebied, voor naïviteit. In het kader van herstel van vertrouwen in de overheid, is transparantie in Den Haag een nieuwe leidraad. Daar moeten we niet in doorslaan, vindt hij. Als voorbeeld noemt hij het vrijgeven van een broncode zoals die van de DigiD. Daar kunnen ook criminelen baat bij hebben. ‘Ook hier is het van belang dat we met elkaar een goed evenwicht zien te vinden, in het belang van een goed werkende, democratische samenleving.’

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Lees ook:

Privacy Statement: waar moet je aan voldoen?

AVG: wat zijn de regels?

50% websites slecht voorbereid op datalek

Consument vraagt om meer controle over persoonsgegevens

Meer nieuws

5 misverstanden over privacy en persoonsgegevens

Werk jij met persoonsgegevens en twijfel je weleens of je aan de AVG voldoet? Onze servicedesk merkt dat er veel verwarring bestaat over de regels. We delen de vijf grootste misverstanden die we tegenkomen en geven je meteen praktische tips om fouten te voorkomen. Lees meer

Geheimhoudingsverklaringen en de AVG

Een goede geheimhoudingsverklaring beschermt bedrijfsinformatie en persoonsgegevens. Dit artikel bespreekt de essentiële onderdelen van zo’n verklaring en legt uit hoe je hiermee vertrouwelijke informatie beter beveiligt en voldoet aan privacywetgeving. Lees meer

Dataminimalisatie: Alleen verzamelen wat nodig is

Dataminimalisatie betekent het verzamelen en verwerken van alleen de noodzakelijke persoonsgegevens, waardoor je voldoet aan de AVG. Dit artikel biedt praktische tips voor zzp’ers, mkb, grotere organisaties en verenigingen, en helpt je de risico’s van datalekken en privacyproblemen te verminderen. Lees meer