De AVG is geen bedreiging maar een kans

Foto Dick Pouw MBA
Auteur: Dick Pouw MBA
Associate Partner Datagedreven werken
Inhoudsopgave

Sinds 25 mei 2018 is in Europa de Algemene Verordening Gegevensbescherming (AVG) van kracht. Het zal weinig organisaties zijn ontgaan. Sterker nog, de meeste ondernemingen en instellingen hebben inmiddels braaf een al dan niet gewijzigde privacyverklaring op hun website gepubliceerd en hun klanten hierover geïnformeerd. Toch wil dit volgens Dick Pouw MBA, associate partner bij Passionned Group, absoluut niet zeggen dat daarmee de kous af is. Integendeel. “Dagelijks steken nieuwe issues de kop op. Dit komt vooral omdat de AVG een kaderwet is.”

AVG bevat geen gedetailleerde regels

Een kader- of raamwet is een wet die de algemene principes, verantwoordelijkheden en procedures regelt, maar geen gedetailleerde regels bevat. De nadere invulling van de wet moet nog plaatsvinden doordat organisaties, overheden, burgers, juristen en toezichthouders daadwerkelijk met de AVG aan de slag gaan. Ondertussen leiden nieuwe juridisch termen als ‘verantwoordelijke’, ‘verwerker’ en ‘betrokkene’ vooral tot verwarring, zo geeft ook de Autoriteit Persoonsgegevens (AP) schoorvoetend toe. Een kwestie van gewenning? Volgens Pouw is moeilijk in te schatten hoeveel organisaties echt serieus werk hebben gemaakt van de AVG. “Ik zie inderdaad ook veel window dressing.” Ondertussen is er aan cases geen gebrek.

Praktische vragen bij de AVG

Mag ik een cv van personen meer dan drie weken bewaren? Is het toegestaan om een Excel-lijstje met verjaardagen van medewerkers bij te laten houden door de directiesecretaresse? Verzet de AVG zich tegen een smoelenboek van medewerkers op onze website? Een medewerker heeft een hartinfarct gehad, mag ik dat feit zomaar in zijn personeelsdossier zetten? Met dit soort praktische vragen wordt Pouw regelmatig bestookt als hij weer eens een datawarehouse-training geeft waar hij ook de AVG op hoofdlijnen behandelt. Zo verzorgt hij interactieve trainingen voor verschillende branches die beschikken over veel klantdata, zoals bijvoorbeeld de uitzendbranche.

Hoe bewaak je de integriteit van data in je datawarehouse?

Het gaat hem niet alleen om de theoretische kaders, maar vooral ook de praktische uitwerking van de wet. Ook BI-managers worstelen met dergelijke praktische vragen. Mag je persoonsgegevens überhaupt wel opslaan in een datawarehouse? Wat is de grondslag hiervoor? Hoe ga je om met het recht om vergeten te worden? Is het wijzigen van gegevens in de operationele bronsystemen wel afdoende? In hoeverre is de data-integriteit, de juistheid en de consistentie van data, nog gewaarborgd als je door gebruikers wordt gedwongen bepaalde gegevens te wijzigen of te vernietigen? Hoe ga je om met de output van het datawarehouse na query’s? Wie is eigenaar en dus verantwoordelijk voor de data die voor komt op lijsten en in rapporten? De business manager of de BI-manager?

Beheer de data als een goed huisvader

Pouw verwacht dat toekomstige jurisprudentie meer helderheid zal verschaffen. Tot die tijd geldt er eigenlijk maar één devies: pas als een goed huisvader op de data van jouw klanten, medewerkers en leveranciers. Mocht het onverhoopt toch fout gaan, bijvoorbeeld als er data is gelekt, dan is het vooral zaak om dit binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP). Doe je dat niet, dan loop je een groot risico om beboet te worden. Zeker als blijkt dat het datalek al eerder via de pers naar buiten is gebracht. Ondernemers zullen verder vooral veel aandacht moeten besteden aan het opstellen en actueel houden van verwerkingsovereenkomsten met externe partijen , ‘de verwerkers’, die de gegevensverwerking namens hen uitvoeren. De uitbesteder blijft echter te allen tijde verantwoordelijk voor bescherming van de data.

Zorg dat je in control bent

Maar het belangrijkste advies dat Pouw ook geeft aan zijn cursisten, is dat je altijd aan de AP het beleid en het handelen moet kunnen uitleggen. “Ondernemers moeten niet alleen een goed verhaal hebben, maar ook daadwerkelijk aantonen dat ze volledig ‘in control’ zijn als het gaat om het beschermen van de privacy van ‘betrokkenen’. Burgers hebben daarbij ook een eigen verantwoordelijkheid. Hoewel iedereen weet dat sommige websites en apps ronduit onbetrouwbaar zijn, is de verleiding soms te groot om deze toch te bezoeken en te gebruiken. In die zin is er sprake van een privacy-paradox. Niemand vindt privacy belangrijk totdat het dichtbij komt en jezelf raakt.”

De AVG begint aan de tekentafel

Sinds de wijziging van artikel 11.7a van de Telecommunicatiewet in 2012, de zogenoemde cookiebepaling, worden internetgebruikers, tegen wil en dank, al gedwongen om na te denken over de bescherming van hun privacy. Zonder expliciete toestemming mogen organisaties sindsdien niet zomaar cookies of andere gegevens op de computer, laptop of mobiele telefoon van burgers plaatsen of uitlezen. Dit continue aanvinken van cookieverklaringen leidt nog steeds tot veel ergernis bij internetgebruikers. Doemt er nu met de komst van de AVG naast het ‘Cookiemonster’ nu ook een Privacyspook op? Volgens Pouw valt dat nog te bezien.

Als er al spooky elementen insluipen, dan hebben organisaties dat vooral aan zichzelf te danken. Ze zijn gewoon te laat begonnen met de voorbereiding op de AVG, waardoor ze de deadline misten.

Maar ook organisaties die zich er met een jantje-van-leiden hebben afgemaakt, bijvoorbeeld door simpelweg een privacystatement van het internet te plukken en te kopiëren, zullen volgens hem vroeg of laat in de problemen komen. Met de komst van de Europese ePrivacy-verordening in 2019 wordt de zaak er voor hen zeker niet beter op. Deze Europese verordening is bedoeld om de vertrouwelijkheid van digitale communicatie beter te beschermen en bevat onder meer regels voor het gebruik van e-mail, telemarketing, cookies en andere vormen van elektronische communicatie, zoals Skype en WhatsApp.

Neem alle technische en organisatorische maatregelen

De AVG verplicht organisaties en instellingen, in de wet ‘verwerkingsverantwoordelijke’ genoemd, immers om alle technische en organisatorische maatregelen te treffen die noodzakelijk zijn om de rechten van betrokkenen te beschermen. Hoewel de wetgever dit niet nader specificeert, zijn er wel evidente maatregelen die je kunt nemen. Concreet gaat het om encryptie van gegevens, het uitvoeren van een data protection impact assessment (DPIA), het formuleren van een gegevensbeschermingsbeleid, het inrichten van een verwerkingsregister en het al dan niet aanstellen van een functionaris gegevensbescherming (FG). En hoewel sommige van deze maatregelen (DPIA en FG, red.) niet voor alle organisaties verplicht zijn, kan het toch zinvol deze zaken te overwegen.
Volgens Pouw is het sentiment ten aanzien van privacy omgeslagen, onder andere door pijnlijke affaires bij Facebook.

Eigenlijk moeten we het verleden helemaal loslaten en leren om op een nieuwe, andere blik naar data te kijken.

We leven in een andere tijdgeest. Het ongebreideld verzamelen en het eeuwig bewaren van alle data in datawarehouses of een data lake is niet meer van deze tijd. Het adagium: we bewaren alles ‘voor het geval dat’, is door de AVG taboe verklaard. Het slordig omspringen met iemands data door te lekken wordt eveneens niet langer geaccepteerd.

Transparantie staat voorop bij de AVG

Het doel van de AVG is transparantie. Verwerking van persoonsgegevens is toegestaan, maar onder voorwaarden. Zo mogen persoonsgegevens alleen worden gebruikt voor het doel waarvoor ze zijn verzameld. Dit is het principe van doelbinding. Ook bij het zoeken naar correlaties in big data, dat een hoge vlucht neemt, is dit volgens Pouw van belang. Je mag de data alleen maar gebruiken voor de oorspronkelijk geformuleerde doeleinden. Daarnaast moet er een wettelijke verwerkingsgrondslag zijn. Dat kan bijvoorbeeld toestemming van de gebruiker zijn in het kader van een overeenkomst. Maar ook het ‘algemeen belang’ en ‘gerechtvaardigde belangen’ zijn wettelijk toegestane grondslagen. Zo heeft het verstrekken van een Burger Service Nummer (BSN) aan de salarisadministratie een wettelijke grondslag. Cameratoezicht op straat in grote steden dient vooral het algemeen belang. Van een gerechtvaardigd belang is bijvoorbeeld sprake als een werkgever een toegangssysteem met pasjes invoert (inclusief pasfoto), of een register van het leasewagenpark bijhoudt.

Omgekeerde bewijslast

Bij het praktisch toepassen van de AVG is het volgens Pouw vooral zaak je gezonde verstand te gebruiken. Met het aloude Bijbelse principe: wat gij niet wilt dat u geschiedt, doe dat ook een ander niet, kom je al een heel eind. De AVG gaat hierbij wel uit van een omgekeerde bewijslast. Als organisaties worden aangesproken op hun gegevensbeschermingsbeleid zullen ze zelf moeten aantonen dat ze volledig ‘in control’ zijn. Dit betekent in de praktijk dat je op de tekentafel al moet nadenken over dergelijke zaken. De wet spreek in dit verband over ‘privacy by design’ en ‘privacy by default’, met andere woorden: gegevensbescherming door zowel ontwerp als door standaardinstellingen.”

Realiseer je dat profiling voortaan verboden is

De AVG is van toepassing op alle verwerkingen van persoonsgegevens. Het recht om niet te worden blootgesteld aan geautomatiseerde individuele besluitvorming, kortweg ‘profiling’ genoemd, luistert volgens Pouw extra nauw. Vooral marketeers zullen zich beknot voelen en minder manoeuvreerruimte ervaren door dit profileringsverbod, zoals verwoord in artikel 22 van de Uitvoeringswet van de AVG. Segmentering van doelgroepen en gericht online adverteren (’target advertising’) zijn nu eenmaal belangrijke gereedschappen van de moderne marketingmanager. “Een verzekeraar van fietsen of scooters differentieert de verzekeringspremie onder andere op basis van demografische data, leeftijd en diefstalstatistieken. Zo betaalt een 16-jarige verzekeringsnemer in Leiden wellicht een hogere premie dan een vijftigjarige in Emmen. Het allerbelangrijkste in deze cases is dat je beslissingen moet kunnen onderbouwen en uitleggen aan de Autoriteit Persoonsgegevens.”

AVG raakt sommige businessmodellen

“Bij twijfel zullen bedenkers van campagnes, mede onder druk van risicomijdende juristen, misschien eerder bepaalde marketingacties afblazen, omdat ze anders problemen met de toezichthouder voorzien. Ook zullen marketeers waarschijnlijk minder vaak de grenzen opzoeken. Doen zij dit toch, dan zullen ze een goed onderbouwd verhaal moeten hebben als de toezichthouder onverhoopt op de deur klopt. Externe leveranciers van data, zoals direct marketingbureaus die selecties maken op basis van postcode of levensstijl, krijgen het misschien helemaal Spaans benauwd en durven bijna niets meer. Soms knaagt de AVG direct aan hun businessmodel. Zo moest Cambridge Analytica zelfs de handdoek in de ring gooien, na misbruik van de persoonlijke gegevens van Facebookgebruikers.”

Juridische touwtrekkerij

Hoewel betrokkenen zich nog niet massaal melden om van hun rechten gebruik te maken, kan dit volgens Pouw snel veranderen. “Twee of drie vasthoudende burgers kunnen organisaties al de nodige hoofdbrekens bezorgen. Neem bijvoorbeeld het recht om vergeten te worden. Als iemand wil dat zijn gegevens worden gewist uit alle databases van het bedrijf, moet het bedrijf binnen een maand op dit verzoek reageren en een eventuele weigering ook motiveren. Ook moet zij de betrokkene proactief wijzen op het klachtrecht, als het binnen een maand niet lukt. Bij verzuim kan een betrokkene dan een klacht indienen bij de Autoriteit Persoonsgegevens, die vervolgens ook weer binnen een bepaalde termijn moet reageren. Voor je het weet leidt zo’n simpel verzoek tot eindeloos juridische touwtrekkerij. De meeste organisaties weten bovendien lang niet altijd waar persoonlijke data precies is opgeslagen. Er zijn denk ik maar heel weinig organisaties die hun datawarehouse kunnen opschonen op persoonsniveau.”

De cloud maakt het beeld alleen maar mistiger

De trend om steeds meer data in de cloud op te slaan, vertroebelt volgens Pouw het inzicht waar data zich precies bevindt. Ook hebben veel organisaties nog geen processen ingericht hoe ze met dergelijke verzoeken zullen omgaan. “Of neem een ex-werknemer die wraak wil nemen op zijn werkgever. Door een stevige klacht in te dienen bij de AP kan hij het zijn ex-werkgever bijzonder lastig maken. De toezichthouder zal misschien op die signalen aanslaan en dan komt de cruciale vraag: kun je in voldoende mate aantonen dat je in control bent? Zo niet, dan ben je al snel de sigaar. Dit soort procedures vreet menskracht en energie die je als ondernemer liever ergens anders in steekt.”

Lasten onder dwangsom

De eerste procedures zijn inmiddels al gevoerd en er zijn ook al lasten onder dwangsom van enkele tonnen opgelegd en soms ook geïnd. Zo vorderde de Autoriteit Persoonsgegevens een dwangsom van 48.000 euro in bij een bank. Deze bank gaf in eerste instantie geen gehoor aan een verzoek van een klant om inzage in zijn persoonsgegevens. Dat is dus in strijd met de privacywetgeving. De AP legde de bank hiervoor een last onder dwangsom op. Omdat de bank vervolgens nog steeds niet volledig voldeed aan het verzoek om inzage, heeft de AP de dwangsom ingevorderd. Uiteindelijk heeft de klant wel inzage gekregen in zijn persoonsgegevens. Voor je het weet regent het procedures. Ook de toezichthouder kan hierdoor worden overvallen. Het is volgens Pouw nog maar de vraag of de AP op een krappe arbeidsmarkt genoeg gekwalificeerd personeel kan vinden om alle toegewezen taken uit te kunnen voeren. “Je kunt immers niet alle issues tegelijkertijd tackelen. Ze zullen steekproeven nemen. Wel is er extra budgetruimte beschikbaar gesteld, het budget is zelfs verdubbeld.”

Geen escape mogelijk

De AVG is een fait accompli. Omdat sprake is van dwingende Europese wetgeving met bovendien extraterritoriale werking is er voor organisaties die in Europa opereren geen ontsnapping mogelijk. Tegelijkertijd signaleert Pouw een toenemende juridisering waar waarschijnlijk niemand gelukkig van wordt. Er zal een heel circus van (beroeps)procedures, verweerschriften en wetsinterpretaties op gang komen. Een intelligente organisatie laat zich echter niet van de wijs brengen. Zij is sensitief, slim en snel en probeert van de nood een deugd te maken.

Je kunt volgens Pouw namelijk de AVG ook positief benaderen door eindelijk eens grondig na te denken over het doel en nut van dataopslag, de levenscyclus van data, dataclassificatie, data deduplicatie, opschoning van data en informatiebeveiliging. Hiervoor kun je dan speciale projectteams inrichten. Hoewel hij het niet met harde cijfers kan onderbouwen, schat Pouw gevoelsmatig in dat slechts zo’n 10 procent alle organisaties op die manier inhoudelijk met de AVG bezig is. De rest blinkt uit in oppervlakkigheid, blijft onder de radar en is vooral bezig met het vermijden van boetes. En dat is volgens hem een gemiste kans. Dit risicomijdende, defensieve gedrag leidt tot verborgen kosten. “Het is juist de kunst om de AVG in je voordeel te gebruiken, bijvoorbeeld door interne processen of je imago te verbeteren. Dan kost de AVG niet alleen geld, maar levert het ook baten op, die bij sommige organisaties zelfs kunnen leiden tot een concurrentievoordeel.”

Hoe nu verder na de invoering van de AVG?

Met de invoering van de AVG is de kous nog niet af. De Europese Commissie heeft nog een zogenoemde ‘e-privacyverordening’ aangekondigd, die in eerste instantie tegelijkertijd met de AVG zou worden ingevoerd. De e-privacyverordening moet met name het recht op eerbiediging van het privéleven, de vertrouwelijkheid van de communicatie en de bescherming van persoonsgegevens in de sector elektronische communicatie gaan garanderen. De wet behandelt onder andere e-mail, WhatsApp, sms en telemarketing, en regelt ook de uitzondering voor contact met klanten. Cookies worden hierin ook gereguleerd. Op dit moment worden bezoekers van een website meestal al uitgenodigd om desgewenst vier verschillende categorieën cookies aan te vinken. Noodzakelijke cookies zijn essentieel voor werking van de website. Daarnaast heb je cookies die voorkeuren bijhouden en cookies voor statistische en marketingdoeleinden. Om ervoor te zorgen dat gebruikers hun toestemming vrijelijk kunnen geven, mag het weigeren van toestemming geen gevolgen hebben voor de betrokkene. Dit betekent dat websitebezoekers alsnog gebruik moeten kunnen maken van de website (weliswaar met beperkingen), ook al hebben zij geen toestemming gegeven voor het gebruik van cookies.

Het toetsingskader ontbreekt

De hamvraag is: wanneer is een bedrijf nu volledig AVG-compliant? Deze vraag is volgens Pouw niet te beantwoorden, omdat hiervoor geen definities bestaan. Het toetsingskader ontbreekt namelijk in de AVG. Ondertussen begrijpt de toezichthouder heus wel dat niet ieder bedrijf van de ene op de andere dag zijn zaakjes volledig op orde heeft. Bovendien is er altijd ruimte voor verbeteringen.

De toezichthouder investeert in deze transitieperiode vooral nog veel in voorlichting en educatie en zal waarschijnlijk organisaties waarschijnlijk nog niet overal keihard op afrekenen. De AP zal ook niet zomaar bij je langskomen om een audit te doen als daarvoor niet direct een aanleiding is. Zorg in ieder geval dat het verwerkingsregister en de processen op orde zijn. Een ding is zeker: organisaties die even snel iets in elkaar flansen en op hun website publiceren en zich verder nergens meer in verdiepen, houden zichzelf voor de gek.

Als het bijvoorbeeld gaat om de meldplicht datalekken, die inmiddels in de AVG is geïntegreerd, is de toezichthouder van meet af aan bijzonder streng. Organisaties moeten een datalek onverwijld en uiterlijk binnen 72 uur melden. Doen zij dat niet, zonder dat zij hierbij een goed verhaal hebben, zullen ze tegen een boete aanlopen.

Beschouw data als een waardevol asset

Organisaties die hun beleid op het gebied van informatiebeveiliging aantoonbaar maken met een ISO 27001-certificaat of al standaard al hun data versleutelen middels encryptie, hebben een streepje voor. Sowieso hebben zij veel minder uit te leggen. Idealiter zouden organisaties hun data volgens Pouw veel meer als een waardevol asset moeten zien. Data is dan het nieuwe goud. “Dit bewustzijn begint volgens hem in de boardroom. Net als de overheid hebben directeuren een voorbeeldfunctie. Gele Post-iT memo’s met wachtwoorden onder het toetsenbord doen afbreuk aan de geloofwaardigheid van het management. Algemeen directeuren moeten zich realiseren dat zij uiteindelijk hoofdelijk aansprakelijk zijn. Dit geldt niet alleen voor de eigen onderneming, maar ook voor de zogenoemde ‘verwerker’, de juridische entiteit die de gegevensverwerking uitvoert ten behoeve van betrokkenen. Denk hierbij aan een cloudleverancier, een hostingspartij, een administratiekantoor of een online marketingbureau dat in opdracht digitale nieuwsbrieven verstuurt.”

Sluit waterdichte verwerkingsovereenkomsten af

De opdrachtgever kan zijn verantwoordelijkheid niet afschuiven op de verwerker. Hij is verantwoordelijk voor de hele keten. Daarom is het zo belangrijk om een waterdichte verwerkingsovereenkomst af te sluiten met de ‘verwerker’. Pouw: “Bij een datalek moet te allen tijde duidelijk zijn wie met wie communiceert en waarover. Als een verwerker pas na 71 uur meldt dat er een datalek is, heb je zelf nog maar 1 uur over om te acteren. Als opdrachtgever sta je dan met de rug tegen de muur. Verwerkers hebben ook de neiging hun aansprakelijkheid uit te sluiten, of boeteclausules te beperken tot maximaal eenmaal de maandelijkse fee die zij betalen. Ook dat is een bekende valkuil. Tot slot: vraag altijd naar certificaten en naar de maatregelen die de verwerker zelf heeft getroffen om calamiteiten te voorkomen en schade zoveel mogelijk te beperken. In welk land worden de gegevens verwerkt? Maakt de verwerker gebruik van logging en monitoring? Is de serverruimte afgeschermd voor onbevoegden? Dat zijn allemaal relevante vragen. De antwoorden hierop dragen allemaal bij aan een goed privacyverhaal.”

Conclusie: de AVG wat moet je er mee?

Met de komst van de AVG en de aanstaande e-privacyverordening wordt iedereen gedwongen om op een nieuwe, andere manier naar data te kijken. Omdat de AVG bestaat uit algemene principes en geen gedetailleerde regels bevat, zal wel nog de nodige jurisprudentie ontstaan. Eén ding is zeker, het slordig omspringen met iemands persoonlijke gegevens wordt maatschappelijk gezien niet langer geaccepteerd.

Bestel nu de bestseller 'De intelligente, datagedreven organisatie' (8e druk)

Productafbeelding van het boek 'De intelligente, datagedreven organisatie'