Dit is een voorpublicatie uit de nieuwe en nog te verschijnen editie van De Algemene Verordening Gegevensbescherming in gewonemensentaal, Bart van der Sloot, Amsterdam University Press
Deel 1: Misverstand 1 tot en met 4 (er volgen nog 2 delen)
Je weet nu wat de AVG behelst en waarom het belangrijk is de Verordening te volgen. Voordat in de volgende hoofdstukken nadere uitleg wordt gegeven, is het van belang tien wijdverbreide misverstanden te weerleggen.
1. De AVG heeft ten doel gegevensverwerking te beperken
Vaak wordt gezegd dat het doel van de AVG is om gegevensverwerkingsprocessen te beperken of zelfs te verbieden. Dat is om meerdere redenen onwaar.
Ten eerste was de reden om in 1995 een EU-gegevensbeschermingskader aan te nemen juist dat zo’n kader begrenzingen en beperkingen zou wegnemen. Zoals eerder uitgelegd hield de Europese Unie zich aanvankelijk voornamelijk bezig met economische kwesties en de totstandkoming van een interne markt waarin er geen handelsbarrières zijn. Een Nederlandse boer kan bijvoorbeeld tomaten verkopen in Frankrijk, omdat de EU-regels voor het produceren en verkopen van tomaten in Nederland en Frankrijk allebei hetzelfde zijn.
Tegen deze achtergrond moet ook het gegevensbeschermingskader worden gezien. Het probleem dat voor de aanname van de Richtlijn bescherming persoonsgegevens van 1995 bestond, was dat elk EU-land zijn eigen regels had. Dat betekende dat als een Duits bedrijf gegevens naar Oostenrijk wilde doorvoeren, het aan zowel de Duitse als de Oostenrijkse wet moest voldoen. Bedrijven die in alle EU-landen opereerden, moesten voor elk afzonderlijk gegevensverwerkingsproces weer aan een ander juridisch regime voldoen, wat veel barrières opwierp voor internationaal opererende bedrijven, ook omdat de verschillende nationale wetten soms tegenstrijdige eisen stelden. Door één gegevensbeschermingskader aan te nemen voor de hele EU werden de beperkingen voor handel en doorvoer van gegevens weggenomen en werd tegelijkertijd een hoog beschermingsniveau voor de burger gegarandeerd.
Ten tweede staan in het eerste artikel van de AVG twee doelen vermeld. Eén is de bescherming van de rechten en belangen van burgers, de ander is het faciliteren van de verwerking van persoonsgegevens door bedrijven en overheidsorganisaties. Beide belangen moeten in ogenschouw worden genomen bijhet interpreteren van de gegevensbeschermingsregels. In wezen is het doel van de Verordening de verwerking van persoonsgegevens te faciliteren, zolang de rechten en vrijheden van burgers worden gerespecteerd. In het verleden heeft het Europees Hof van Justitie, dat gaat over de juiste interpretatie van de gegevensbeschermingsregels van de Europese Unie, ten aanzien van de Richtlijn bescherming persoonsgegevens uit 1995 al gezegd dat nationale wetten niet méér bescherming mochten bieden aan burgers dan de Richtlijn deed, als dit ten koste gaat van de belangen van bedrijven en overheidsorganisaties die de gegevens willen verwerken.
Ten derde verbieden de gegevensbeschermingsregels zelden een bepaalde verwerking. De meeste regels leggen procedurele waarborgen en algemene beginselen neer, zodat de gegevensverwerking goed en behoorlijk verloopt. De meeste regels in de AVG hebben dan ook de vorm van ‘als je persoonsgegevens verwerkt, zorg ervoor dat …’ de gegevens veilig worden opgeslagen, je daar transparant over bent, je zorgt dat de gegevens die je over een persoon hebt ook kloppen, etc. Er staan maar een paar regels in de AVG waaruit een verbod voortvloeit, en zelfs die zijn relatief. De AVG stelt bijvoorbeeld dat gevoelige persoonsgegevens, zoals informatie over iemands seksuele geaardheid of gezondheid, in principe niet mogen worden verwerkt, maar geeft vervolgens ook tien vrijalgemene uitzonderingen, waarvan de essentie is dat als het voor de hand liggend en nodig is dat een organisatie gevoelige gegevens verwerkt, dit ook mag.
2. De AVG is gecompliceerd
Soms wordt gesteld dat het gegevensbeschermingsrecht ingewikkeld en gecompliceerd is en daarmee een zware last zou leggen op organisaties die persoonsgegevens willen verwerken. Dat klopt echter niet.
In de AVG staan zeer basale, eenvoudige en voor de hand liggende regels. Als je gegevens over iemand verwerkt, informeer die persoon daar dan over, tenzijje de contactgegevens niet hebt. Als je gegevens over iemand opslaat, doe dan je best om ervoor te zorgen dat die gegevens niet gehackt worden of op straat komen te liggen. Als je gegevens over iemand gebruikt om beslissingen over die persoon te nemen, zorg dan dat de gegevens ook kloppen en up-to-date zijn. Enzovoort. Ze zijn het equivalent van basale verkeersregels, zoals kijk eerst naar links en naar rechts voordat je oversteekt, doe wat rustiger aan bijslecht zicht en houd afstand als je achter iemand rijdt.
3. De AVG stelt nieuwe regels en verplichtingen
Een ander veel gehoord misverstand is dat de AVG nieuwe regels en verplichtingen oplegt aan organisaties. Vaak wordt beweerd dat de reden om de Richtlijn uit 1995 te vervangen door de AVG was dat de regels uit de Richtlijn verouderd waren. Die stammen immers uit het tijdperk dat databases nog beperkt waren, Google en Facebook nog niet bestonden en mobiele telefoontjes het formaat van een koelkast hadden. Daarom moesten de oude regels worden geüpdatet en aangepast aan de moderne, datagedreven realiteit, zo is de gedachte. Toen de AVG van kracht werd, gaven veel organisaties dan ook aan dat zijveel tijd, geld en energie moesten investeren om te zorgen dat hun processen aan de nieuwe gegevensbeschermingsregels zouden voldoen.
Maar ook dat klopt niet. Eigenlijk zijn alle inhoudelijke regels nog precies hetzelfde gebleven. De kernprincipes en uitgangspunten van het gegevensbeschermingsrecht (hoofdstuk 3) zijn ongewijzigd, alle inhoudelijke verplichtingen voor gegevensverwerkende organisaties bestonden al (hoofdstuk 4) en ook ten aanzien van de rechten van burgers is weinig wezenlijk nieuw (hoofdstuk 5). Hoewel de term dataportabiliteit of gegevensoverdraagbaarheid bijvoorbeeld nieuw is, gaf de Richtlijn uit 1995 het datasubject al het recht om de gegevens die er over hem werden verwerkt op te vragen en toegezonden te krijgen in een makkelijk hanteerbaar format. De rechten op toegang, informatie en kopie bestonden al; het recht op rectifijicatie en het klachtrecht bestonden ook al. Het recht om vergeten te worden was door het Hof van Justitie al op basis van de Richtlijn uit 1995 aangenomen. En het recht om niet onderworpen te worden aan automatische besluitvorming uit de AVG is vrijwel onveranderd gebleven ten opzichte van dezelfde bepaling uit de Richtlijn van 1995.
De reden om de Richtlijn te vervangen door de AVG was niet dat de regels zelf verouderd waren, maar dat ze niet werden nageleefd. Daarom heeft de AVG nu enerzijds de handhavende organisaties, zoals de Autoriteit Persoonsgegevens, meer bevoegdheden en sanctiemogelijkheden gegeven, en anderzijds de data-verwerkende organisaties compliance-verplichtingen opgelegd, zoals het documenteren van de gegevensverwerkingsprocessen, het doen van risico-inschattingen, het aanstellen van een interne toezichthouder en het rapporteren van AVG-schendingen. De nieuwe regels in de AVG hebben dus ten doel om te zorgen dat de inhoudelijke bepalingen die al sinds 1995 golden ook echt worden nageleefd; de gegevensbeschermingsregels zelf zijn nauwelijks veranderd.
4. De AVG draait om geinformeerde toestemming
Veel organisaties benadrukken dat ze aan het gegevensbeschermingskader voldoen. Ze hebben immers toestemming gekregen. Die gedachte is om een aantal redenen misplaatst.
Ten eerste kan een organisatie helemaal AVG-compliant zijn zonder ook maar één keer om toestemming te hebben gevraagd. Toestemming speelt een beperkte rol in de AVG en wordt slechts genoemd in het kader van drie verplichtingen: het hebben van een legitieme verwerkingsgrondslag voor het verwerken van persoonsgegevens (paragraaf 3.3.), het hebben van een legitieme verwerkingsgrondslag voor het verwerken van gevoelige persoonsgegevens (paragraaf 3.4) en het hebben van een legitieme verwerkingsgrondslag voor het doorvoeren van persoonsgegevens naar buiten de EU (paragraaf 3.5). Bijelk van die punten is toestemming een van de grondslagen waarop een organisatie zich kan beroepen; maar de AVG noemt er nog veel meer. Een organisatie kan zich in het kader van deze drie verplichtingen dus beroepen op toestemming, maar dat hoeft zeker niet.
Ten tweede legt de AVG zeer strenge voorwaarden neer voor toestemming. Het datasubject moet snappen waarvoor hijtoestemming geeft, hijmoet vrijzijn om nee te zeggen, de toestemming moet specifijiek zijn – ik geef toestemming om deze specifijieke data, voor dit specifijieke doel, onder deze specifijieke voorwaarden te verwerken –, toestemming moet actief worden gegeven en mag dus niet uit een opt-out-procedure worden afgeleid en toestemming moet duidelijk en ondubbelzinnig zijn gegeven. Voor het verwerken van gevoelige persoonsgegevens en het verwerken van gegevens over kinderen gelden nog weer strengere voorwaarden. De AVG legt zoveel eisen neer voor toestemming omdat het organisaties wil aanmoedigen zich niet op toestemming, maar op een van de andere verwerkingsgronden te beroepen.
Ten derde ontmoedigt de AVG organisaties nog verder om zich te beroepen op toestemming door te bepalen dat burgers hun toestemming op ieder moment weer mogen intrekken – wat kan betekenen dat organisaties per direct moeten stoppen met het verwerken van die gegevens –, door de bewijslast voor de legitimiteit van de toestemming om te draaien – het is niet aan het datasubject om aan te tonen dat hijbijvoorbeeld niet goed was geïnformeerd of niet vrijwas in het geven van zijn toestemming, maar aan de organisatie om aan te tonen dat het datasubject wel goed geïnformeerd was en wel vrijwas om nee te zeggen–, en als een organisatie zich ondanks al deze ontmoedigingen toch op toestemming beroept, dan geeft de AVG extra rechten aan het datasubject, zoals het eerder genoemde recht op dataportabiliteit, dat een persoon de mogelijkheid geeft om alle gegevens die hijheeft gegeven aan een organisatie weer op te vragen en mee te nemen naar de concurrent.
Ten vierde hebben alle andere principes en verplichtingen uit de AVG niets te maken met toestemming. Organisaties moeten gegevens bijvoorbeeld altijd veilig opslaan. Al geeft het datasubject duidelijk zijn toestemming voor het niet-veilig opslaan van zijn gegevens, dan nog geldt deze plicht. Het is net zoals bijde verkoop van een auto. Een consument kan best een onveilige auto willen en bereid zijn om daarvoor te betalen, maar een autofabrikant heeft nog steeds een wettelijke plicht om geen onveilige auto’s te produceren. De toestemming van de consument is op dat punt dus irrelevant. Op dezelfde manier staan de meeste principes en vereisten in de AVG (bijvoorbeeld die uit paragraaf 3.1, paragraaf 3.2 en alle verplichtingen uit hoofdstuk 4) los van de eventuele toestemming van het datasubject.
Dit is een voorpublicatie uit de nieuwe en nog te verschijnen editie van De Algemene Verordening Gegevensbescherming in gewonemensentaal, Bart van der Sloot, Amsterdam University Press
Bart van der Sloot verzorgt op 27 november een minicollege en een bijdrage aan het debat tijdens het Nieuwspoort Seminar De Veiligheidstafel Live! – Big Tech: Digitale Gangsters? Kijk op de website van het Haags Congres Bureau voor meer informatie.
D66 eist uitleg over falende onderwijsinspectie: debataanvraag ingediend
Meerdere scholen in Deventer dicht na dreigmail over schietpartij
Minder regels, beter toezicht?
