Tien misverstanden over de AVG – Deel 2

Dit is een voorpublicatie uit de nieuwe en nog te verschijnen editie van De Algemene Verordening Gegevensbescherming in gewonemensentaal, Bart van der Sloot, Amsterdam University Press

Deel 2: Misverstand 5 tot en met 7 (er volgt nog 1 deel)

Je weet nu wat de AVG behelst en waarom het belangrijk is de Verordening te volgen. Voordat in de volgende hoofdstukken nadere uitleg wordt gegeven, is het van belang tien wijdverbreide misverstanden te weerleggen.

5. De AVG is niet van toepassing, want de data zijn geëncrypteerd

Een ander misverstand is dat als persoonsgegevens worden geëncrypteerd, de gegevensbeschermingsregels niet van toepassing zouden zijn. De AVG vereist inderdaad dat organisaties maatregelen nemen om persoonsgegevens veilig en vertrouwelijk op te slaan. Een organisatie kan in het kader daarvan gegevens encrypteren. Wel stimuleert de AVG dergelijke maatregelen, omdat het betekent dat als er bijvoorbeeld een hacker toegang krijgt tot de databases van de organisatie, deze persoon alsnog de gestolen gegevens niet kan lezen en ze dus onbruikbaar zijn.

Sterke encryptie kan dus helpen om aan een van de vereisten uit de AVG (zie paragraaf 4.9) te voldoen, maar encryptie is als zodanig niet vereist. Ook is het beveiligen van gegevens slechts een van de vereisten uit de AVG, terwijl deze vereisten cumulatief zijn. Dat wil zeggen dat je aan alle verschillende eisen moet voldoen en niet slechts aan één of enkele vereisten. Net zoals het hebben van toestemming niet betekent dat je meer gegevens mag verzamelen dan je nodig hebt, of dat je gegevens onveilig mag opslaan, betekent het encrypteren van persoonsgegevens niet dat de gegevens langer bewaard mogen worden dan strikt noodzakelijk is of dat deze gegevens verouderd mogen zijn als ze worden gebruikt.

6. De AVG was al achterhaald toen die werd aangenomen

Vaak wordt gezegd dat de AVG al achterhaald was toen die werd aangenomen. De gegevensverwerkingsprincipes zijn immers vrij- wel ongewijzigd gebleven sinds 1995 en stammen zelfs grotendeels uit de jaren 70 van de vorige eeuw, terwijl de wereld structureel is veranderd. Dit is natuurlijk een kwestie van interpretatie, maar er is in ieder geval een aantal tegenargumenten.

Ten eerste legt de AVG zoals gezegd zeer basale zorgplichten en procedurele waarborgen neer, die draaien om het bieden van transparantie, het veilig opslaan van gegevens en het formuleren van een doel waarvoor je gegevens nodig denkt te hebben. Dit zijn zulke basale kernprincipes, dat de EU heeft gemeend dat ze niet wezenlijk afhankelijk zijn van tijd en context, net zoals het bijvoorbeeld altijd een goed idee is om auto’s te bouwen die veilig zijn.

Ten tweede is het wel duidelijk dat een aantal gegevensbeschermingsregels op gespannen voet staat met sommige gegevensverwerkingsprocessen van bedrijven en overheidsorganisaties, met name als het gaat om grote data-gedreven projecten. Terwijl Big Data uitgaat van het verzamelen van zo veel mogelijk gegevens, stelt de AVG dat er zo min mogelijk gegevens dienen te worden verzameld. Terwijl Big Data uitgaat van het verzamelen van gegevens zonder daarvoor een concreet doel te hebben, vereist de AVG dat er eerst een specifiek doel moet worden geformuleerd alvorens met de gegevensverzameling wordt begonnen. En terwijl Big Data uitgaat van het hergebruik van oude informatie voor nieuwe doeleinden, stelt de AVG dat gegevens in principe alleen voor het doel mogen worden verwerkt waarvoor ze zijn verzameld. De AVG heeft daarmee zeker ten doel een aantal radicale bedrijfsmodellen uit Silicon Valley aan banden te leggen. De principes zijn niet zozeer verouderd en ook is het niet zo dat, zoals soms wordt beweerd, de Brusselse ambtenaren in hun ivoren toren geen voeling hebben met de hedendaagse datagedreven samenleving. Integendeel, de EU-wetgever had deze bedrijfsmodellen juist zeer scherp op het netvlies toen de AVG werd aangenomen en heeft besloten hier paal en perk aan te stellen. Niet de gegevensverwerkingsprincipes worden aangepast aan de hedendaagse datapraktijk, maar de datapraktijk zal zich moeten conformeren aan de basale mensenrechten en procedurele waarborgen die al sinds jaar en dag gelden.

De AVG moet dan ook in het licht worden gezien van de meer algemene strategie van de EU om de Amerikaanse hegemonie als het gaat om data-gedreven innovatie en de daaraan verbonden ethiek (of het gebrek eraan) te doorbreken. Jarenlang heeft de EU data-gedreven projecten gestimuleerd die aan de basale gegevensbeschermingsregels voldoen, terwijl met name Amerikaanse organisaties deze regels structureel aan hun laars lapten. Nu is de maat vol en heeft de EU een breder beleid neergelegd om te zorgen dat buitenlandse organisaties die in de EU zaken willen doen zich ook echt aan de Europese normen houden. Dat gebeurt door boetes en sancties op te leggen via het mededingingsrecht en het consumentenrecht, door belastingontwijking aan te pakken en nu dus ook via de AVG.

7. De AVG remt de economisch groei

Er wordt vaak gesuggereerd dat het gegevensbeschermingsrecht zo streng is dat het de economische vooruitgang belemmert. Het is natuurlijk moeilijk om precies te meten welk economisch efffect de AVG zal hebben, maar er zijn vier goede redenen om aan te nemen dat de AVG de economische vooruitgang vooral zal stimuleren.

Ten eerste, zoals al is uitgelegd, is de Verordening niet gericht op een beperking van gegevensverwerkingen, maar op het vaststellen van een kader waarbinnen goede en zorgvuldige gegevensverwerkingsprocessen kunnen plaatsvinden. Het formuleren van een doel dwingt een organisatie om goed na te denken over welke gegevens echt nodig zijn en daarmee om efffijicient om te gaan met middelen en capaciteiten; het verwijderen van verouderde gegevens minimaliseert de kans op organisatorische fouten en interne misverstanden; door het beveiligen van gegevens tegen hackers beschermt een organisatie belangrijke assets en voorkomt ze aansprakelijkheid voor geleden schade door burgers; etc.

Ten tweede, zoals ook is toegelicht, is het expliciete doel van de AVG niet alleen om burgers te beschermen, maar ook om de positie van gegevensverwerkende partijen te versterken. De achtergrond van het EU-gegevensbeschermingskader ligt in het wegnemen van handelsbarrières en de belemmeringen voor grensoverschrijdende gegevensverwerkingsstromen binnen de EU, door één gemeenschappelijk kader vast te leggen.

Ten derde geeft de AVG rechtszekerheid aan data-verwerkende organisaties en legitimiteit aan de gegevensverwerkingshandelingen. Als personen en organisaties die gegevens willen verwerken zich houden aan alle voorwaarden en regels die in het gegevensbeschermingsrecht zijn neergelegd, dan kunnen zijerop vertrouwen dat zijlegitiem opereren. Dat geeft ook meer maatschappelijk vertrouwen en steun voor gegevensverwerkende organisaties. Interessant is dat nu er in de Verenigde Staten meer aandacht is voor privacyschendingen door bijvoorbeeld Facebook en Google, zelfs de bedrijven uit Silicon Valley vragen om strengere gegevensbeschermingswetten. Een streng juridisch raamwerk geeft namelijk ook legitimiteit, vermindert de publieke ophef en negatieve media-aandacht en stimuleert daarmee een stabiel businessmodel.

Ten vierde, zoals eerder besproken, legt de AVG met name nieuwe regels neer voor handhaving en compliance en hebben gegevensverwerkende organisaties zelf daarbijeen belangrijke rol om processen te documenteren, risico-inschattingen te maken en een functionaris voor de gegevensbescherming aan te stellen binnen hun organisatie. Dit heeft ertoe geleid dat er binnen de EU een geheel nieuwe bedrijfstak is ontstaan. Accountantskantoren voeren audits uit, speciale organisaties bieden gecertifijiceerde functionarissen aan en er komen bedrijven op die slimme oplossingen en technisch veilige systemen aanbieden. Daarmee is de AVG-compliance sector een van de snelst groeiende markten binnen de EU.

Dit is een voorpublicatie uit de nieuwe en nog te verschijnen editie van De Algemene Verordening Gegevensbescherming in gewonemensentaal, Bart van der Sloot, Amsterdam University Press