Dit is een voorpublicatie uit de nieuwe en nog te verschijnen editie van De Algemene Verordening Gegevensbescherming in gewonemensentaal, Bart van der Sloot, Amsterdam University Press
Deel 3: Misverstand 8 tot en met 10 (slot)
Je weet nu wat de AVG behelst en waarom het belangrijk is de Verordening te volgen. Voordat in de volgende hoofdstukken nadere uitleg wordt gegeven, is het van belang tien wijdverbreide misverstanden te weerleggen.
8. De AVG legt een onredelijke last op het MKB
Soms hoor je ook dat de AVG onnodig zware verplichtingen oplegt aan kleine en middelgrote ondernemingen, zoals bedrijven met één of slechts een handvol werknemers. Prima, zo is de gedachte, dat de grotere organisaties alle regels streng in acht moeten nemen en zelf moeten zorgen voor compliance-instrumenten, maar voor een eenmanszaak is dat echt te veel gevraagd. Er zijn zo veel wetten waaraan je je als kleine ondernemer moet houden – je kunt niet al je tijd, energie en middelen aan één enkele wet besteden. Alhoewel deze gedachte begrijpelijk is, heeft de EU juist al maatregelen getrofffen om dit probleem voor te zijn.
Ten eerste benadrukt de AVG dat de EU-instellingen en de nationale toezichthouder in hun handelen rekening moeten houden met de positie van kleine en middelgrote ondernemingen. Zo kunnen zijvoorlichtingsactiviteiten ontplooien die speciaal zijn gericht op dit type bedrijven en mag de Europese Commissie nadere regels stellen voor de invulling van de verplichtingen uit de AVG voor dergelijke organisaties.
Ten tweede zijn veel verplichtingen in de AVG expliciet contextafhankelijk gemaakt. De AVG stelt dan bijvoorbeeld dat er een bepaalde verplichting geldt, ‘rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden’. Dat is juridisch voor: des te meer gegevens je verwerkt, des te gevoeliger de gegevens zijn, des te langer je de gegevens bewaart, enzovoort, des te sterker de beveiligingsmaatregelen zijn die je moet trefffen en des te strenger de regels uit de AVG moeten worden uitgelegd. Dit geldt bijvoorbeeld voor de plicht om een intern gegevensbeschermingsbeleid neer te leggen (paragraaf 4.2), om beleidskeuzes in het technische systeem te vervatten (paragraaf 4.3) en om technische en organisatorische veiligheidsmaatregelen te implementeren (paragraaf 4.8 en 4.9). Dit betekent dat een ander niveau van technische en organisatorische beveiliging wordt verwacht van een kleine pizzeria dan van een groot technologiebedrijf, en ook hoeft een eenmanszaak in principe geen uitgebreid gegevensbeschermingsbeleid op papier te zetten.
Ten derde kent de AVG een expliciete uitzondering voor kleine en middelgrote ondernemingen. De documentatieplicht (paragraaf 4.1), waaruit volgt dat je als organisatie moet bijhouden en registreren welke persoonsgegevens je verwerkt, waarom en hoe, geldt bijvoorbeeld in principe niet voor organisaties met minder dan 250 werknemers.
Ten vierde is een aantal plichten verbonden aan het risico dat met de gegevensverwerking is gemoeid, zoals het doen van een risicobeoordeling (paragraaf 4.6), het aanstellen van een functionaris voor de gegevensbescherming (paragraaf 4.7) en de meldplicht datalekken (4.10). Als een eenmanszaak of kleine onderneming een minieme hoeveelheid ongevoelige gegevens over personen verzamelt, dan is die organisatie vrijgesteld van de plicht om een risicobeoordeling te doen, een functionaris aan te stellen en een melding te doen als er een datalek is geweest. Ten vijfde, wanneer er ondanks deze soepele interpretatie van de regels toch een schending van de AVG wordt geconstateerd door de toezichthouder, dan nog zal deze rekening houden met de grootte van de organisatie, de investeringen die er zijn gedaan en de vraag in welke mate de organisatie meer had kunnen en moeten doen om de schending te voorkomen. Doorgaans zal de Autoriteit Persoonsgegevens dan ook substantieel hogere boetes en sancties opleggen bijgrotere ondernemingen en overheidsorganisaties dan bijkleine en middelgrote organisaties die een keer de fout in gaan.
9. Een schending van de AVG leidt tot enorme boetes
Veel mensen hebben gehoord over de boetes en sancties die kunnen worden opgelegd bijeen schending van de AVG en organisaties stellen zelfs dat ze hun deuren wel kunnen sluiten als ze de AVG overtreden. Ook sommige journalisten en media doen mee aan de hype en geven aan dat als een organisatie bijvoorbeeld in een mail een aantal mensen CC plaatst in plaats van BCC (waardoor er voor derden persoonsgegevens zichtbaar worden, wat strikt genomen een datalek is aangezien een e-mailadres een persoonsgegeven is), dit kan leiden tot miljoenenboetes. Dat is natuurlijk onzin.
Ten eerste is het opleggen van boetes slechts een van de vele maatregelen die de Autoriteit Persoonsgegevens kan trefffen. Doorgaans is het de laatste stap op de escalatieladder en zal de Autoriteit eerst haar andere bevoegdheden gebruiken: adviseren over hoe de gegevensverwerkingsprocessen binnen een organisatie op orde kunnen worden gebracht, een waarschuwing geven als het daarna nog niet goed gaat, de gegevensverwerking tijdelijk stilleggen als de organisatie dan nog niet AVG-compliant is en pas als al die stappen doorlopen zijn zal de AP doorgaans een boete opleggen.
Ten tweede geeft de AVG aan dat bijeen besluit om een boete op te leggen, de AP onder meer rekening moet houden met de aard, de ernst en de duur van de inbreuk, met de aard, de omvang en het doel van de verwerking en met het aantal getrofffenen en de omvang van de door hen geleden schade. De hoge boetes zijn echt bedoeld om veelplegers tot de orde te kunnen roepen en om enige impact te hebben op de grote technologiebedrijven als Google, Facebook en Microsoft. Een boete van 10.000 euro zal op dergelijke organisaties geen indruk maken. Maar een schoolkrant die tegen de zin van een leraar meldt dat die thuiszit met een gebroken been zal echt geen 20 miljoen euro boete krijgen opgelegd.
10. Gegevensbescherming valt onder het recht op privacy
Tot slot is voor veel mensen het recht op gegevensbescherming een onderdeel van het recht op privacy. Toch is dat onjuist.
Privacy gaat in wezen om het beschermen van de privésfeer en strekt zich traditioneel uit over een aantal gebieden. Zo is je woning beschermd, bijvoorbeeld tegen het binnentreden van de politie zonder huiszoekingsbevel. Ook mag de overheid niet zomaar je brieven lezen, laat staan dat anderen dat mogen. Natuurlijk heeft je lichaam een bijzondere status: de lichamelijke integriteit is een van de meest basale uitgangspunten van een democratische rechtstaat. En ook het recht op reputatie wordt ten dele door het recht op privacy beschermd. Al deze rechten staan ook in de Nederlandse Grondwet.
Het recht op privacy is eigenlijk al eeuwenoud en vormt dan ook een klassiek rechtsbeginsel, naast bijvoorbeeld het recht op vrijheid van meningsuiting en de vrijheid van geloof. Het gaat in de basis om de scheiding tussen de privésfeer en de publieke sfeer – over die laatste sfeer heeft de overheid zeggenschap, over het eerste domein niet of in sterk mindere mate. Privacy is niet alleen vervat in de Nederlandse Grondwet, maar bijvoorbeeld ook in de Universele Verklaring voor de Rechten van de Mens (UVRM) uit 1948 van de Verenigde Naties en het Europees Verdrag voor de Rechten van de Mens uit 1950 van de Raad van Europa.
Sinds de jaren 70 van de vorige eeuw is daar een nieuw element bijgekomen, namelijk de bescherming van persoonlijke informatie. Dat heeft te maken met de opkomst van nieuwe technologieën, waardoor het voor het eerst mogelijk werd om grote elektronische databases aan te leggen. De reden om nieuwe, aparte regels aan te nemen voor de verwerking van dit soort data was dat er in deze databases vaak geen gevoelige gegevens of privéinformatie stond, maar juist heel algemene gegevens. Bijvoorbeeld of iemand een auto heeft en in welke prijsklasse; of een persoon een hondenbezitter is; waar een burger is geboren. Dit zijn allemaal gegevens die iets kunnen zeggen over een persoon en zeker als ze bijelkaar worden gevoegd een goed beeld van iemand kunnen geven. Toch is elk gegeven afzonderlijk niet zo gevoelig dat het zonder meer onder het recht op privacy zal vallen.
In de loop der jaren is het recht op gegevensbescherming steeds meer los komen te staan van het recht op privacy. Als je goed leest, zul je bijvoorbeeld zien dat waar de Richtlijn bescherming persoonsgegevens uit 1995 nog direct gekoppeld is aan het recht op privacy, de Verordening niet één keer spreekt van het recht op privacy. Bekende begrippen als Privacy by Design en Privacy Impact Assessment worden in de Verordening Data Protection by Design en Data Protection Impact Assessment genoemd.
De Europese Unie is uniek in de wereld in de zin dat zijeen apart recht op gegevensbescherming heeft openomen in haar grondrechtenverklaring, naast het recht op privacy. Terwijl de bescherming van persoonlijke informatie onder het Europees Verdrag voor de Rechten van de Mens uit 1950 bijvoorbeeld nog direct is gekoppeld aan het recht op privacy, en persoonsgegevens met name worden beschermd voor zover de verwerking daarvan raakt aan de privésfeer, is het in het Handvest voor de Grondrechten van de Europese Unie uit 2000 een aparte doctrine. Daarom is het het beste om het gegevensbeschermingsrecht in EU-verband te zien als verbonden aan het recht op privacy, maar niet als een onderdeel daarvan. Het is een eigenstandig grondrecht, waarvan de Algemene Verordening Gegevensbescherming een uitwerking is.
Dit is een voorpublicatie uit de nieuwe en nog te verschijnen editie van De Algemene Verordening Gegevensbescherming in gewonemensentaal, Bart van der Sloot, Amsterdam University Press
‘We blijven steeds in dezelfde valkuilen vallen’
Toezicht in verbinding – Weinig zon en veel behang? Blog Paul van Dijk
Groei online gokmarkt vrijwel tot stilstand gekomen
