Help, een nieuwe privacywet! De 25ste mei ligt alweer even achter ons en het stof is intussen wat neergedwarreld. De achterliggende tijd heb ik in mijn mailbox heel wat privacy-statements langs zien komen of vragen om mijn toestemming voor een digitale nieuwsbrief opnieuw te bevestigen. Veel organisaties en bedrijven hebben zich afgevraagd: wat moet ik met deze nieuwe regels? Laat mij gewoon m’n werk doen, zonder al dat ‘gedoe’.
Misschien had deze column, zo bij het aanbreken van de vakantietijd, beter een zonnig onderwerp kunnen hebben. Graag niet weer de AVG…
Reden waarom ik er wel over schrijf, zijn enkele verkeerde beelden over de nieuwe privacywet. Om te beginnen: veel mensen denken dat het gaat om compleet nieuwe regels die zo uit de lucht komen vallen, als een spook dat plotseling verschijnt. Dat beeld is deels door alle media-aandacht te verklaren, maar is onjuist.
Natuurlijk: het gaat om een belangrijke Europese wet, die in alle EU-lidstaten gaat gelden en ook elders in de wereld bepaald niet onopgemerkt voorbij gaat. Burgers krijgen meer privacyrechten en de verplichtingen voor bedrijven en overheden zijn fors geworden. Maar heel wat regels die in de AVG staan, golden ook al onder de vorige Wet Bescherming Persoonsgegevens. Alleen, en daar zit de pijn: als je je als bedrijf of organisatie nooit hebt bekommerd om een zorgvuldige omgang met persoonsgegevens, dan heb je nu een extra portie werk. Je zou het kunnen vergelijken met het schoonmaken van de badkamer. Laat dat maar eens een jaar zitten, dan is er het nodige achterstallige onderhoud.
Een belangrijk begrip in de AVG is de term ‘’persoonsgegevens’’. Dat kan heel veel zijn: niet alleen je naam, adres, emailadres, maar ook bijvoorbeeld IP-adressen of MAC-adressen van telefoons. Of de route die iemand door de supermarkt neemt, of de ritgegevens van een bedrijfsbus. Het gaat om ieder gegeven waarmee een levend mens kan worden geïdentificeerd. Gaan data niet over een levend persoon, dan zijn het geen persoonsgegevens. Zo zijn jaarcijfers van een BV of een foto van een huis waarbij het huisnummer niet in beeld komt, geen persoonsgegevens.
Nu lijkt, en dat is een tweede beeld dat ik wil corrigeren, de gedachte post te vatten dat je altijd toestemming van de persoon in kwestie nodig zou hebben voor het gebruik van diens persoonsgegevens. Er zijn nogal wat mensen die denken: de persoonsgegevens die over mij gaan zijn ‘van mij’, dus ik bepaal wat ermee gebeurt. Tenslotte ben ik ‘eigenaar’ van die gegevens. Die redenering is maar ten dele waar.
Werk je met persoonsgegevens, dan moet je volgens de AVG een goede reden hebben om dat te doen, een zogeheten ‘’grondslag’’. Zo’n grondslag kan inderdaad zijn dat je toestemming aan de betrokkene moet vragen. Maar de AVG kent nog vijf andere grondslagen en die kunnen ook aan de orde zijn. Zo kan een bedrijf of organisatie een eigen ‘’gerechtvaardigd belang’’ hebben om persoonsgegevens te mogen verwerken. In dat geval is er geen toestemming van de betrokkene nodig.
Een fotojournalist zou zich af kunnen vragen of hij nog wel mag fotograferen op straat. Moet straks bij elke passant een toestemmingsformulier onder de neus worden geduwd? In zo’n geval kun je betogen dat de fotojournalist een eigen legitiem belang heeft om beelden te maken, namelijk de vrijheid van meningsuiting, waarbij hij wel rekening dient te houden met de privacy van de mensen die hij fotografeert.
Een ander voorbeeld: een bedrijf dat gebruik maakt van beveiligingscamera’s ter bewaking van het eigen terrein en de goederen, kan daarvoor een eigen legitiem belang aanvoeren. Dit valt dan onder de wettelijke grondslag ‘’gerechtvaardigd belang’’. Ook hier dient natuurlijk weer rekening gehouden te worden met de privacy van de mensen op de camerabeelden.
Kortom: wie professioneel met persoonsgegevens werkt zal goed moeten weten welke geldige reden hij daarvoor heeft en in de wet ontdekken dat er meer mogelijkheden zijn dan alleen het toestemming vragen aan de betrokken persoon.
De AVG biedt een geschikt moment voor bedrijven, scholen, stichtingen en organisaties om eens een schoonmaakbeurt te houden door de vraag te stellen: op welke manier gaan wij met persoonsgegevens van ons personeel en onze relaties om? Gebeurt dat op de goede manier en hebben we in alle gevallen wel een geldige reden? Een eerste stap kan zijn om intern te inventariseren wie met welke persoonsgegevens werkt en waarom.
Want zoveel is wel duidelijk: een zorgvuldige omgang met persoonsgegevens wordt in de digitale samenleving alleen maar belangrijker en dat zal vast niet meer veranderen.
Mr. drs. Jan-Kees Karels, privacyjurist Wolleswinkel Advocaten
