Het probleem met die (te?) strenge uitleg van het legitiem belang door de AP

De Autoriteit Persoonsgegevens is te streng met de uitleg van de privacywetgeving AVG, zo vinden juristen en datahandelaren, las ik bij Security.nl (dat zich weer op het FD baseerde). Aanleiding is een vorige maand gepubliceerde normuitleg waarin de toezichthouder stelt dat ‘zuiver commerciële belangen’ en ‘winstmaximalisatie’ geen reden zijn om persoonsgegevens te verwerken. Dat is tegen het zere been van menig organisatie die drijft op die grondslag, omdat je nu eenmaal niet voor alles toestemming wilt vragen en ook geen contract met die mensen hebt. Dus wat moet je dan. Maar tegelijkertijd klinkt het wel lekker stoer, een zuiver winstoogmerk kan toch geen reden zijn om de privacy te schenden? Maar het ligt wat subtieler.

De normuitleg is een soort richtsnoer van de AP: zo zien wij deze term uit de AVG, en als jij deze interpretatie volgt dan kan er weinig mis zijn met de onderbouwing van je verwerking. (Je hébt toch een onderbouwing op papier van elke verwerking, nietwaar? Anders zit je sowieso fout, ook als het legaal is wat je doet.) De discussie begon met een volgens mij zijdelingse tussenwerping van de AP:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.

Ik denk dat het probleem hier is dat de discussie over het legitiem belang eigenlijk een drietrapsraket is, en dat vaak de eerste trap en de uitkomst met elkaar verward worden. Beiden heten namelijk “legitiem belang” in de wandelgangen.

Bij de analyse (die je dus vooraf op papier doet, ik blijf het maar even zeggen) van je legitiem belang – dus de uitkomst – bepaal je allereerst wat jouw reden, jouw belang is om die persoonsgegevens te willen verwerken. Daarna kijk je als tweede welke privacybelangen van de betrokken mensen daarmee in het gedrang komen, en als derde verzin je maatregelen om die privacybelangen te beschermen en/of de inbreuk daarop te beperken. Kom je er niet uit bij stap 3, of merk je bij stap 2 dat je wel héél diep op mensen hun privacy in gaat, dan krijg je de analyse dus niet rond en dan mag het niet.

Waar het hier misgaat, is dat die opmerking van “het dienen van zuiver commercieel belangen” volgens mij bedoeld is om te zeggen dat je niet “ja ik wil geld verdienen dus dit heb ik gewoon nodig” kunt gebruiken als analyse, als conclusie. Maar als je de analyse doet, dan kom je bij stap 1 tot de conclusie dat een commercieel belang wél mogelijk is als je reden, als je belang. Ondernemersvrijheid is een grondrecht namelijk, net als de andere grondrechten (vrijheid van meningsuiting, kunst, bescherming van je eigendom bijvoorbeeld) die de AP een alinea eerder noemt.

Het was dus handiger geweest als hier iets had gestaan van “In theorie is ook het dienen van zuiver commerciële belangen mogelijk als een legitiem belang, zij het dat de privacyinbreuk (stap 2) dan zeer gering moet zijn en al het mogelijke (stap 3) moet worden gedaan om die inbreuk te beperken”. Nu krijgen we dus spraakverwarring of de AP de conclusie verbiedt dat een commercieel belang de grondslag kan dragen, of meteen zegt dat je bij stap 1 af bent – en dus het grondrecht van ondernemersvrijheid ontkent. Dat laatste lijkt me niet helemaal juist en creëert dus ruis in de discussie. Jammer.

Arnoud

22 reacties

  1. zij het dat de privacyinbreuk (stap 2) dan zeer gering moet zijn

    Wat is zeer gering? Vraag het een woordvoerder van facebook en je krijgt de ene uitleg, vraag het de woordvoerder van een organisatie die vecht voor privacy en je krijgt een heel andere uitleg.

    1. ‘Zeer gering’ moet dan zijn: dusdanig gering dat het belang om met rust te worden gelaten niet zwaarder weegt dan het belang van de organisatie om de gegevens wél te verwerken.

      Daar zit dus inderdaad nog de nodige ruimte voor interpretatie en uitleg, maar omdat je de afweging expliciet moet maken (en zoals Arnoud terecht dramt, ook moet vastleggen) heb je dan wel iets om over te discussiëren en waar uiteindelijk een toezichthouder een knoop over kan doorhakken als er onenigheid over is.

      1. Het gaat niet over het belang om met rust gelaten te worden.

        Het gaat over het belang om je persoonsgegevens niet onnodig in databases te hebben, onafhankelijk van of of ze die nu gebruiken om je lastig te vallen of alleen maar omdat de iemand graag wil weten, (je weet maar nooit hoe die info nog eens van pas kan komen….) , welke politieke of seksule voorkeur je hebt.

  2. Beste Arnoud, ik moet je teleurstellen. De AP bedoelt wel degelijk dat commerciële belangen in stap 1 van de drietrapsraket niet een gerechtvaardigd belang vormen. Ik ken mensen bij de AP en die zeggen dat dit de visie van Wolfsen is, waartegen intern veel weerstand is geweest. Maar hij heeft zijn zin doorgedreven.

    1. Nou, ik moet zeggen dat ik het dan toch met Wolfsen eens ben. Als je alleen geld kunt verdienen door andermans persoonsgegevens te gebruiken zonder dat die ander daar ook maar iets van weet/iets aan heeft, dan heb je gewoon een krom, niet levensvatbaar, businessplan.

      Het komt op hetzelfde neer (voor mij toch) als mensen maar de helft van het minimumloon te betalen, want tja, dat is mijn ondernemersvrijheid, en dat is een grondrecht, waag het niet om eraan te komen.

      En of het dan niet mag wegens ‘de eerste trap’, of wegens ‘de derde trap’… dat is eerder een theoretisch-juridische discussie.

      1. Mee eens Cg. Een bedrijf als graydon draait bijvoorbeeld om persoonsgegevens. Nu kan ik me voorstellen dat zij als belang hebben om hun klanten te behoeden voor wanbetalers e.d., maar gewoon puur geld verdienen door middel van persoonsgegevens hoort gewoon geen businessmodel te zijn.

  3. @cg: Hoe nobel de gedachte van de AP/Wolfsen ook lijkt, het is niet in lijn met de AVG. De wetgever bepaalt de wet en niet de toezichthouder. Gelukkig maar. Daarom zijn alle privacyjuristen het er volgens mij wel over eens dat commerciële belangen niet per definitie al in stap 1 sneuvelen. Maar bedrijven die zich op een gerechtvaardigd belang beroepen moeten hun zaakjes wel heel goed voor elkaar moeten hebben (stap 2 en 3). Zodat bedrijven niet met een slap verhaal (of zoals jij zegt busknessplan) weg kunnen komen. De huidige lijn van de AP/Wolfsen gaat juridisch geen stand houden is mijn voorspelling. Daarom hoop ik dat de AP bijdraait of snel een zaak voor de rechter brengt, zodat die de uitleg van de AP kan toetsen.

    1. Ik betwijfel of er snel “rechtspraak” zal komen. Om de in de termen van Arnould te blijven, moet de drietrapsraket van de klager dan wel sluitend zijn.

      In praktijk lijkt mij deze drietrapsraket zeer moeilijk te verwezenlijken. Het louter “legitiem” zijn van iets, is dan op zich eenvoudig. Zover ik weet mag ik bv. foto’s van baby’s verzamelen en daar geld mee verdienen. Ik zie niet in hoe ik dan kom naar een “legitiem belang” om deze te foto’s ten gelde te maken, “legitiem belang” in de context van de AVG.

  4. Denk ik ook Alain, Niemand krijgt de drietrapsraket sluitend, dus niemand gaat aan de rechter voorleggen of die bij de eerste trap of bij de derde trap niet sluitend was, dat is een zinloze rechtsgang.

    En ik kan me inderdaad voorstellen dat de privacyjuristen het er niet mee eens zijn, op formeel-juridische gronden, en misschien hebben ze gelijk, maar wanneer komt dit in hemelsnaam voor de rechter?

      1. Ik twijfel. Die boete zal er ooit wel komen, maar de partij die beboet is zal zich dan ook wel realiseren dat dat terecht is. Die eerste stap geef ik je, maar geef mij dan eens een voorbeeld van een situatie waarin er puur commercieel alleen met gegevens wordt gehandeld, en die wel door de de tweede en derde stap komt? Ik kan me niet voorstellen dat dat mogelijk is.

        1. In mijn ervaring zijn er weinig door de AP beboete partijen die “zich realiseren dat de boete terecht is”. Zeker als ze even met een privacyjurist of -advocaat bellen; de AVG is immers nieuw en vaag en dus is elk besluit wel aan te vechten. Al is het maar uit principe, als je bedrijfsvoering op de tocht komt door een verbod dan is dat heel vervelend.

          Ik heb over zo’n voorbeeld zitten denken maar weet eigenlijk niet wat “puur commercieel” is. Elk bedrijf wordt uiteindelijk in hoge mate gedreven door commerciële belangen. Is deze blog puur commercieel bijvoorbeeld? Ik wil geld verdienen met mijn adviesdiensten, trainingen en boeken. Of bedoelt de AP datahandelaren, de “verrijk uw klantenbestand met onze gegevens” dienstverleners? Dan betaal je geld per klantrecord en geven zij je extra informatie zoals kredietwaardigheid, interesses en gecorrigeerde adresgegevens. Dat zou ik “pure datahandel” noemen maar dat is niet hetzelfde als “puur commercieel”.

          1. Ja, als je bedrijfsvoering op de tocht komt, dan zul je wel procederen. Maar ik neem niet aan dat het de bedoeling van de AP is om zodanige boetes te geven dat anderszins nette bedrijven daaraan failliet gaan. MIschien bij herhaaldelijk misbruik? Maar dan is er al geen onwetendheid meer.

            Ik weet niet of je blog puur commercieel is. Er zijn genoeg mensen die gratis en voor niets hun kennis, muziekcollectie of jonge hondjes willen delen.

            Maar zelfs al is het puur een middel om je dienstverlening te promoten, je bezoekers komen vrijwillig en leren er iets van, anders stopten ze wel met bezoeken. Je verzamelt de data dus niet voor de handel, maar om een optimale website te maken. Er zit duidelijk een niet-commerciele kant aan.

            Zie het eens anders: Je mag zelfs geen database aanleggen van ex-klanten/studenten IE recht, waarvan je in alle eerlijkehijd mag aannemen dat ze interesse hebben in jouw kennis en diensten, om reclame te maken voor een nieuw boek.

            Je mag nog veel minder een database kopen/gebruiken met data van dergelijke mensen.

            En hoe denk je dan rond te krijgen je zo’n database mag aanleggen, niet eens om hem zelf te gebruiken, maar alleen om hem te verkopen, en dan ook nog stiekem?

            Die belangenafweging krijg je never nooit niet rond.

            En of het dan in de eerste stap of in de tweede of derde faalt, maakt uiteindelijk niet uit.

            1. @CG: of een beroep op een gerechtvaardigd belang faalt in de eerste, tweede dan wel derde stap maakt wel degelijk uit. Volgens het huidige standpunt van de AP is er voor veel datahandelaren nooit sprake van een gerechtvaardigd (want: commercieel) belang. Dan heb je het over een principekwestie. Kom je daar doorheen dan is het m.i. best mogelijk om een beroep op die grond te laten slagen. In stap drie zouden datahandelaren allerlei maatregelen kunnen opvoeren waardoor zij kunnen betogen dat negatieve gevolgen voor de privacy van betrokkenen worden beperkt, waardoor de weegschaal van de toets hun kant op tipt. De AVG is niet uit de lucht komen vallen, maar bouwt sterk voort op bestaande regelgeving. Daarin was een beroep op een gerechtvaardigd belang geen principieel probleem, zoals de AP er nu een van maakt. De AP maakt voor mij onvoldoende duidelijk waarom ze dit nu ineens anders lijken te beoordelen.

              1. @Jan: Ja het is een principekwestie, dat snap ik ook wel. Stel nu dat je inderdaad door de eerste stap heenkomt. Mooi.

                Maar ik zien van mijn levensdagen niet hoe je door de derde stap heenkomt. Stel dat jij privacygevoelige data van een hoop mensen hebt, zonder toestemming verzameld.

                Dan heb jij nog controle, en dan kun jij heel misschien nog beargumenteren dat het allemaal gerandomiseerd is, en dat het een database voor wetenschappelijke studie is, en dat het heel goed beveiligd is. En dan krijg je de redenering misschien nog rond.

                Maar zodra je het gaat verkopen raak je de controle kwijt, dat krijg je nooit rond. En het bijzondere is:

                Je belangrijkste argument is dan: Ik heb belang bij, en een recht op, winstmaken. Maar dat wordt hoe langer hoe zwakker naarmate de waarde van de data stijgt. Als jij data hebt die tienduizenden Euro’s per persoon waard zijn, en die jij potentieel voor dat bedrag zou kunnen verkopen, dan is automatisch ook het vermoeden van een heel zware privacyschending aanwezig (want anders was die data nooit zoveel waard)

                Geef mij nou eens een concreet, al is het vergezocht, voorbeeld hoe je datahandel kunt rondkrijgen onder de AVG, zelfs al kom je door de eerste stap.

                Leuk, zo’n principezaak over het geslacht van de engelen, maar het verandert niets.

                1. @cg: Er lijkt voor handelaren in persoonsgegevens niet zoveel veranderd met de komst van de AVG, ten opzichte van de Wbp. Ongeveer hetzelfde wettelijk kader gaat op. Onder de Wbp heb ik in al die jaren nooit gemerkt dat de AP een probleem maakte van datahandel, mits volgens de regels uitgevoerd. En nu wordt het bijna gecriminaliseerd. Maar goed, je vraagt me om een praktijkvoorbeeld waarbij een beroep op een gerechtvaardigd belang zou kunnen slagen.

                  Bedrijf A verzamelt namen en adressen uit allerlei bronnen, met als doel om een database aan te leggen en deze te vermarkten. Deze verzameling geschiedt met een beroep op een gerechtvaardigd belang, bedrijf A informeert betrokkenen netjes op tijd, biedt goede facilitering van de rechten van betrokkenen en verantwoordt zijn zaakjes netjes in een goed verwerkingsregister. Bedrijf A heeft dan (zoals de wet tot op heden is uitgelegd) voldoende waarborgen getroffen om de gevolgen voor de betrokkenen te beperken. Bedrijf A verkoopt vervolgens een dataset aan Bedrijf B, dat met die gegevens brieven verstuurt aan potentiële klanten. Bedrijf B heeft daarvoor ook een gerechtvaardigd belang, informeert betrokkenen en faciliteert al hun rechten. Volgens mij is ook onder de AVG met die transactie niet zoveel mis.

                  Het punt is natuurlijk wel: hoe groter de potentiële inbreuk op de privacy, hoe moeilijker het is om de test in stap 3 door te komen. Daarover heeft de Britse toezichthouder ICO een hele website volgeschreven (betere website dan de Nederlandse AP, in mijn ogen). Dus hoe meer je met de persoonsgegevens doet, hoe meer waarborgen je moet toepassen. Tot je op het punt komt dat dit niet mogelijk is en je toestemming nodig hebt.

                  Een transactie zoals hierboven geschetst lijkt mij echter niet bij voorbaat verboden (of onmogelijk), zoals de AP op dit moment wel suggereert. Sterkste aanwijzing daarvoor is dat ik nog geen enkele Europese toezichthouder een boete heb zien uitdelen voor datahandel.

                  1. mmmm een datahandelaar die de betrokkenen informeert. Nog nooit meegemaakt.

                    Anders had ik zeker de nodige klachten ingediend. Laat die dan maar herevalueren en motiveren waarom zijn belang zwaarder weegt dan het mijne, wat expliciet in de AVG verplicht is. Alsook éénieder die mijn gegevens aan de betrokkene heeft doorgegeven of hoe de betrokkene de bronnen op legale wijze heeft bekomen. Bovendien doet er iemand , waar ik geen klant ben, direct marketing zonder voorafgaand akkoord… (da’s ook al lang geleden)

                    Als ik dat dan in de context zie van 2 uitspraken van het Europees Hof van Justitie : a) doorgeven aan sociale media via “knop” b) het reeds aanvinken van vakjes in het kader van de cookiewetgeving.

                    Op zich kan dat legaal zijn als de betrokkene vooraf toestemming heeft gegeven, maar dan is er geen sprake van gerechtvaardigd belang. Quid dat de toestemming waarschijnlijk op slinkse wijze bekomen is.

                  2. Bedrijf A verzamelt namen en adressen uit allerlei bronnen, met als doel om een database aan te leggen en deze te vermarkten.

                    Ah, en hoe gaat bedrijf A dat doen? Wie zijn de leveranciers van die namen en adressen en hebben die toestemming van de betrokkenen om die gegevens te delen (gratis of betalend)? Lijkt me niet.

                    Of gaat bedrijf A het telefoonboek overtypen? Mag ook niet, want je kunt op je klompen aanvoelen dat mbt die gegevens ALLEEN toestemming is gegeven om ze beschikbaar te maken in het telefoonboek, en verder NIET.

                    Deze verzameling geschiedt met een beroep op een gerechtvaardigd belang, bedrijf A informeert betrokkenen netjes op tijd, biedt goede facilitering van de rechten van betrokkenen en verantwoordt zijn zaakjes netjes in een goed verwerkingsregister. Bedrijf A heeft dan (zoals de wet tot op heden is uitgelegd) voldoende waarborgen getroffen om de gevolgen voor de betrokkenen te beperken
                    Nee dat hebben ze niet, want ze hebben geen belangenafweging gedaan. Daar draait het juist om. AVG is niet een kwestie van voldoen aan formaliteiten en vakjes aankruisen, maar het inhoudelijke deel, wat er achter die formaliteiten zit, moet objectief worden uitgevoerd.

                    En dat informeren, gaat daar op duidelijke en expliciete wijze, met een mogelijkheid tot afmelden?

                    Bedrijf A verkoopt vervolgens een dataset aan Bedrijf B

                    Mag niet 1: Ze hebben ongetwijfeld de betrokkenen niet geinformeerd dat hun data AAN BEDRIJF B verkocht worden. Daarmee zijn ze niet specifiek genoeg geweest in hun informatievoorziening naar de betrokkenen toe. Misschien hebben die betrokkenen echt wel geen bezwaar als het bedrijf C of D of E betreft, maar bedrijf B, daar willen ze niets mee te maken hebben.

                    Mag niet 2: Hoe gaan ze technisch garanderen dat bedrijf B de data niet verder verkoopt?

                    Bedrijf B, dat met die gegevens brieven verstuurt aan potentiële klanten.Bedrijf B heeft daarvoor ook een gerechtvaardigd belang, informeert betrokkenen en faciliteert al hun rechten.

                    En hoe informeren Bedrijven A en B die betrokkenen? Toch niet door een privacyverklaring op hen website, waar de betrokkenen absoluut geen reden voor hebben om die spontaan op te zoeken? Dat zal niet genoeg zijn. Dat zal echt moeten door een gerichte brief.

                    En heeft bedrijf B de belangenafweging eerlijk en objectief gedaan en gedocumenteerd?

                    En je weet toch dat mensen zich, zonder reden, kunnen verzetten tegen opname in een direct marketing database?

                    Na een informatiebrief van bedrijf A, en een informatiebrief van bedrijf B, en voldoende tijd om de mensen toe te laten zich te laten schrappen, hoeveel echte gegevens zitten er dan nog in de database? Volgens mij is het merendeel dan valse gegevens, of gegevens van mensen die dood of verhuisd zijn. Denk je echt dat bedrijf B daarvoor aan bedrijf A gaat betalen?

                    Wat ik bedoelde met mijn vraag is echter niet dit scenario, dat is veel te algemeen, maar de concrete belangenafweging tussen het belang van bedrijf A/B en het belang van de betrokkenen. Daar zit het probleem, die krijg je in het geval van direct marketing per brief volgens mij niet rond. Jij zegt nogal gemakkelijk: ‘ verantwoordt zijn zaakjes netjes in een goed verwerkingsregister’. Maar dat is juist de moeilijkste stap, die krijgen ze niet voor elkaar.

                    En heel misschien kan bedrijf B dit nog wel voor elkaar krijgen, als ze potentiele klanten niet op een andere manier effectief kunnen benaderen en als hun aanbod ook objectief in het belang is van de betrokkenen (noem eens wat… een nieuwe verzekeringmaatschappij die nog niemand kent maar die iedereen echt een 20% lagere premie kan aanbieden)

                    Maar als het voor iedereen is kunnen ze het ook bij ieder adres in de bus laten steken, dan hebben ze geen database nodig. En als het niet voor iedereen is, dan hebben ze weer aanvullende privacygevoelige gegevens in hun database nodig om de selectie op te kunnen baseren, waarmee de belangenafweging, zowel van bedrijf A als bedrijf B, al weer een stuk lastiger wordt.

                    Maar bedrijf A, de datahandelaar, en daar ging het om in dit verhaal, krijgt deze belangenafweging nooit sluitend.

                    Een transactie zoals hierboven geschetst lijkt mij echter niet bij voorbaat verboden (of onmogelijk).

                    Niet bij voorbaat, inderdaad, maar in de praktijk wel.

                    Sterkste aanwijzing daarvoor is dat ik nog geen enkele Europese toezichthouder een boete heb zien uitdelen voor datahandel.

                    Hoeveel datahandel is er nog tussen legitieme Europese partijen in het direct marketing-gebied? En hoe komt dat, denk je? Als er geen stropers meer zijn, kun je ze ook niet beboeten.

                    1. Mag ook niet, want je kunt op je klompen aanvoelen dat mbt die gegevens ALLEEN toestemming is gegeven om ze beschikbaar te maken in het telefoonboek, en verder NIET.
                      Beste CG, leuk om zo met je van gedachten te wisselen. Internetdiscussies verzanden immers vaak in ruzie en beledigingen, daarom doe ik het weinig meer.

                      Je bent vrij stellig in wat volgens jou in de AVG staat over wat mag en wat niet mag. Maar ik heb soms het idee of je vooral kijkt naar hoe het volgens jou zou moeten zijn en minder naar wat er werkelijk staat in de AVG, plus de jurisprudentie die in de afgelopen jaren is ontstaan.

                      Daardoor lijkt het alsof je meent dat toestemming de enige valide grondslag uit de AVG is in de private sector. Maar toestemming was en is echt niet voor elke verwerking noodzakelijk. Ik snap best dat je zou willen, dat is ook de kant die de maatschappij op beweegt. Men wil (terecht) maximale controle over de eigen persoonsgegevens. Maar vooralsnog is er een grondslag die gerechtvaardigd belang heet en voldoende jurisprudentie en wetsuitleg die handelaren in persoonsgegevens voorziet van een grondslag. Totdat de AP een besluit neemt dat anders suggereert (en dat vervolgens in stand wordt gehouden door een rechtbank). Wat ik betwijfel, in elk geval niet op grond van hun argumentatie uit de recente normuitleg, waar privacyjuristen en masse gehakt van maken.

                      Nee dat hebben ze niet, want ze hebben geen belangenafweging gedaan.
                      Heb je hier kennis van binnenuit, vanuit een organisatie? Mijn ervaring is dat elke datahandelaar een Functionaris voor de Gegevensbescherming heeft en die zal adviseren om de belangenafweging expliciet op te schrijven, voor het geval de Autoriteit Persoonsgegevens langs komt. Dat verhaal kun je het uiteraard niet mee eens zijn. En het zou datahandelaren sieren om hier transparanter in te zijn.

                      Hoeveel datahandel is er nog tussen legitieme Europese partijen in het direct marketing-gebied? En hoe komt dat, denk je? Als er geen stropers meer zijn, kun je ze ook niet beboeten.
                      Misschien begrijp ik je beeldspraak verkeerd. Het lijkt of je zegt dat er geen legale/legitieme datahandel is binnen Europa en dat daarom toezichthouders niet ingrijpen? Het tegendeel is waar. Er is juist enorm veel datahandel, waarbij er binnen Europa honderden partijen zijn zoals ‘mijn’ partij A en ontelbaar veel partijen B, waaronder vrijwel elk bedrijf of stichting van enige omvang. Vooralsnog is er weinig gehandhaafd, voor zover ik heb gezien. Recent is er wel een voorbeeld van een bedrijf uit Polen dat meen ik creditratings verzorgt en die onvoldoende brieven stuurde aan betrokkenen. Dat ging over transparantie en niet over de grondslag van de verwerking.

                      Kleine ontboezeming: Uit mijn verhaal kom ik misschien naar voren als pro-datahandel. Dat valt in praktijk wel mee hoor. Ik weet uit ervaring ongeveer hoe de datastromen lopen en schrik soms van de plekken waar ik mijn gegevens terugvind (na inzageverzoeken). Mijn gevoel is echter dat we in Nederland iets te ver voor de muziek uitlopen. In mijn ogen moeten bedrijven de kans krijgen om zich aan te passen aan een nieuwe wereld, nadat de wetgever duidelijke kaders heeft gegeven. De AVG is niet het heldere kader geworden waar ik enkele jaren terug op hoopte. OK, boomer, hoor ik mijn dochter zeggen. Wellicht heeft ze gelijk.

                      1. Ik weet dat direct marketing bedrijven lobbyen voor het gerechtvaardigd belang. Ze zullen ongetwijfeld ook mooi (wollig) papierwerk klaar hebben. Ze reageren daar vrij algemeen op de tendens naar benodigde voorafgaande “toestemming”. Uiteraard vinden ze hun eigen belang belangrijker dan de belangen van de betrokken burgers.

                        Maar ik heb nog nooit van zo’n bedrijf een melding gehad dat ze mijn gegevens verwerken. Hoewel ik enkele zware vermoedens heb. Uiteraard zou ik dan onmiddellijk verzet aantekenen en de volledige keten “behandelen”.

                        PS. Ik ben nog op zoek naar een zeer goede realistische en diepgaande “nightmare letter” die juridisch echt sluitend is, zonder in het onrealistische van de huidige online versies te vervallen. Lees een bedrijf dat zijn zaken echt op orde heeft, zou er vlot op moeten kunnen antwoorden.

                      2. @Jan De Jong

                        Je hebt een beetje gelijk dat ik kijk naar he het volgens mij zou moeten zijn. Ik kijk naar hoe het volgens mij is, en denk dat dat wel goed is (twee jaar geleden had ik daar nog een andere mening over, toen was ik zwaar tegen de AVG en zag het als nodeloze inmenging).

                        Ik weet best dat toestemming niet de enige valide grondslag is.

                        Eigen belang is er ook een, maar daar hoort, verplicht, een eerlijke belangenafweging bij.

                        Ik ben ook ondernemer in de zakelijke dienstverlening. Ik zie bij mezelf dat ik het bijhouden van NAW gegevens van ex-klanten en van serieuze prospects waar helaas niets uitgekomen NIET kan verantwoorden op grond van eigen belang. Mijn gemak om hun NAW bij te houden weegt niet op tegen hun ongemak om een tweede keer hun NAW te geven als ze in de toekomst toch nog eens een dienst van me willen afnemen.

                        Dan vraag ik me af hoe iemand, van wie het niet eens ex-klanten of ex-prospects zijn, dat wel zou kunnen (bijvoorbeeld om ze daarna aan mij te verkopen). Ik mag ze zelf niet bijhouden, maar ik mag ze wel kopen? Dat klopt natuurlijk niet.

                        Ook zie ik dat zoiets basics als een IP adres door website-eigenaars niet op grond van eigen belang kan worden geregistreerd, maar alleen met toestemming, zie alle toestemmingscookies die je krijgt voorgeschoteld. Wederom: als dat al niet kan, hoe kan het grootschalig verzamelen van data om te verkopen dan wel op grond van eigen belang verantwoord worden.

                        Vrijheid van ondernemen is natuurlijk een grondrecht. Maar dat wil niet zeggen dat iedere specifieke vorm van ondernemen een grondrecht is. Er zijn duizenden vormen van ondernemen niet toegelaten, of alleen toegelaten met beperkingen. Zo is het, volgens mij, hier ook. Je mag ondernemen, zoals je wilt, maar uit dat enorme domein zijn een paar deeldomeinen gewoon niet toegelaten. Datahandel in privacygevoeldige data is er daar een van.

                        De belangenafweging van de datahandelaar is, ELKE KEER dat hij verkoopt: weegt die X euro die ik verdien PER PERSOON aan DEZE deal op tegen de privacy-inbreuk van die persoon? En het lijkt me sterk dat X meer dan een paar cent is, en dan kan het antwoord niet anders dan NEE zijn.

                        De belangenafweging is niet: Weegt het belang om mijn datahandelbusiness uit te oefenen tegen een beperkte privacyschending.

                        Die vraag is te algemeen, en bovendien is die vraag gekleurd, niet objectief. De belangenafweging wordt daardoor geframed als een keus tussen: ‘zaak sluiten of niet’. Dan zal het antwoord natuurlijk al snel in je eigen voordeel uitvallen, maar dat komt door de manier waarop je de vraag gesteld hebt. Je vergeet daarbij dat er genoeg andere businesses zijn die hij kan uitvoeren.

                        De pooier, of tandarts zonder opleiding, of pakjeskoerier zonder rijbewijs kan zich ook niet verdedigen met… ‘Als dat niet mag dan ga ik failliet, vrijheid van ondernemerschap wint!’. Waarom zou de datahandelaar dat wel mogen?

                        Ik ben er dus van overtuigd, echt waar, dat een datahandelaar stap 3 niet rondkrijgt. Ik geeft toe dat de wet een theoretische mogelijkheid openlaat dat dat wel kan, maar ik moet nog zien dat dat meer dan een theoretische mogelijkheid is.

                        Ik weet uit ervaring ongeveer hoe de datastromen lopen en schrik soms van de plekken waar ik mijn gegevens terugvind (na inzageverzoeken). Mijn gevoel is echter dat we in Nederland iets te ver voor de muziek uitlopen. In mijn ogen moeten bedrijven de kans krijgen om zich aan te passen aan een nieuwe wereld, nadat de wetgever duidelijke kaders heeft gegeven.

                        En mijn gevoel is juist anders. Bedrijven hebben al veel te lang vrijwel ongestoord de maatschappelijk onwenselijke activiteit ‘datahandel’ kunnen uitvoeren, hoog tijd dat het niet meer mag.

  5. Mi is het probleem met het “geld verdienen” argument dat het niet specifiek is. Met andere woorden er zijn veel alternatieven voor het verdienen van geld boven het verkopen van het klantenbestand aan 500 “zorgvuldig geselecteerde partners”

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.