De Autoriteit Persoonsgegevens is te streng met de uitleg van de privacywetgeving AVG, zo vinden juristen en datahandelaren, las ik bij Security.nl (dat zich weer op het FD baseerde). Aanleiding is een vorige maand gepubliceerde normuitleg waarin de toezichthouder stelt dat ‘zuiver commerciële belangen’ en ‘winstmaximalisatie’ geen reden zijn om persoonsgegevens te verwerken. Dat is tegen het zere been van menig organisatie die drijft op die grondslag, omdat je nu eenmaal niet voor alles toestemming wilt vragen en ook geen contract met die mensen hebt. Dus wat moet je dan. Maar tegelijkertijd klinkt het wel lekker stoer, een zuiver winstoogmerk kan toch geen reden zijn om de privacy te schenden? Maar het ligt wat subtieler.
De normuitleg is een soort richtsnoer van de AP: zo zien wij deze term uit de AVG, en als jij deze interpretatie volgt dan kan er weinig mis zijn met de onderbouwing van je verwerking. (Je hébt toch een onderbouwing op papier van elke verwerking, nietwaar? Anders zit je sowieso fout, ook als het legaal is wat je doet.) De discussie begon met een volgens mij zijdelingse tussenwerping van de AP:
Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.
Ik denk dat het probleem hier is dat de discussie over het legitiem belang eigenlijk een drietrapsraket is, en dat vaak de eerste trap en de uitkomst met elkaar verward worden. Beiden heten namelijk “legitiem belang” in de wandelgangen.
Bij de analyse (die je dus vooraf op papier doet, ik blijf het maar even zeggen) van je legitiem belang – dus de uitkomst – bepaal je allereerst wat jouw reden, jouw belang is om die persoonsgegevens te willen verwerken. Daarna kijk je als tweede welke privacybelangen van de betrokken mensen daarmee in het gedrang komen, en als derde verzin je maatregelen om die privacybelangen te beschermen en/of de inbreuk daarop te beperken. Kom je er niet uit bij stap 3, of merk je bij stap 2 dat je wel héél diep op mensen hun privacy in gaat, dan krijg je de analyse dus niet rond en dan mag het niet.
Waar het hier misgaat, is dat die opmerking van “het dienen van zuiver commercieel belangen” volgens mij bedoeld is om te zeggen dat je niet “ja ik wil geld verdienen dus dit heb ik gewoon nodig” kunt gebruiken als analyse, als conclusie. Maar als je de analyse doet, dan kom je bij stap 1 tot de conclusie dat een commercieel belang wél mogelijk is als je reden, als je belang. Ondernemersvrijheid is een grondrecht namelijk, net als de andere grondrechten (vrijheid van meningsuiting, kunst, bescherming van je eigendom bijvoorbeeld) die de AP een alinea eerder noemt.
Het was dus handiger geweest als hier iets had gestaan van “In theorie is ook het dienen van zuiver commerciële belangen mogelijk als een legitiem belang, zij het dat de privacyinbreuk (stap 2) dan zeer gering moet zijn en al het mogelijke (stap 3) moet worden gedaan om die inbreuk te beperken”. Nu krijgen we dus spraakverwarring of de AP de conclusie verbiedt dat een commercieel belang de grondslag kan dragen, of meteen zegt dat je bij stap 1 af bent – en dus het grondrecht van ondernemersvrijheid ontkent. Dat laatste lijkt me niet helemaal juist en creëert dus ruis in de discussie. Jammer.
Arnoud
Tijd om een grens te trekken, stellen de rectores magnifici van de Nederlandse universiteiten. Die 