Mag je van de GDPR geen cloud-based office dienst meer inzetten?

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud

Even iets anders: Ik schreef een GDPR-compliant science fiction verhaal

Ik zou nu een diepe basstem moeten opzetten en beginnen met “In a world… where the GDPR has taken over… one young woman takes up the fight” maar dat voelt iets te theatraal. Daarom houd ik het simpel: willen jullie eens wat anders van me lezen? Meer specifiek, een sciencefictionverhaal waarin inderdaad een jonge vrouw als ondernemer het opneemt tegen zwaar doorgeslagen GDPR handhaving door schimmige stichtingen waar innovatie en AI vrijwel onmogelijk is geworden? Welkom in 2k38.

Een tijd geleden zag ik een uitnodiging van het Instituut voor Informatierecht om mee te doen aan een science fiction writing competition. Dat leek me wel wat in het kader van “zoek eens een hobby, man”. Dus ik heb me opgegeven en na het nodige brainstormen kwam ik uit bij een plot waarin die private handhaving van de AVG nog eens heel groot werd, en Buma/Stemra achtige organisaties overal inspraak en geld eisen als je ook maar iets wilt doen met persoonsgegevens. Dat was de doodsteek voor AI en social media, totdat mijn hoofdpersoon een gat in de markt zag en met een AI app Europa veroverde. En wat er toen gebeurde – oké, nee ik zou geen Buzzfeed slogans meer doen.

Als echte nerd ga ik natuurlijk geen verhaal schrijven zonder tijdlijn en dergelijke. Dat liep een tikje uit de hand, daarom heb ik er een site van gebouwd. Hier staan ook wat andere verhalen en aanvullende informatie. Ik hoop daar in de toekomst mee te kunnen blijven schrijven. Wie suggesties of inspiratie heeft, ik hoor graag van je!

Welcome to the world of 2K38

(De uitslag van die competitie is vanavond, ik ben een van de drie finalisten. Wie in de buurt van Amsterdam is, er is nog plek)

Arnoud

Is misbruik van de GDPR een probleem van de GDPR?

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud

Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

Een vraag via Twitter:

Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…

Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel organisaties is de taak van privacy officer parttime, en doet deze persoon daarnaast nog een andere functie. Vaak security, maar ook ICT algemeen komt veel voor. En nee, dat mag bij ons straks onder de AVG ook niet zomaar.

De functionaris gegevensbescherming (FG) ook wel privacy officer genoemd is een wettelijk gedefinieerde functie. Het gaat om een onafhankelijk opererend persoon in de organisatie die mensen adviseert, begeleidt en traint op het gebied van privacy en persoonsgegevens, maar ook toeziet op een correcte naleving van de wet. (Hij is geen verlengstuk van de toezichthouder, meer dan iets dringend afraden bij de directie kan hij niet doen.)

De FG opereert onafhankelijk, zo bepaalt artikel 38 lid 3 van de AVG:

De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

De FG mag dus niet worden aangestuurd door een hoger persoon in de hiërarchie. Hij hoort dus eigenlijk direct onder de directie aangesteld te zijn en daar direct aan te rapporteren.

Naast zijn werk als FG mag deze persoon ook andere taken vervullen, maar het bedrijf of organisatie dient er dan voor te zorgen dat hierbij geen belangenconflict kan optreden. Dat was dus de fout hier: omdat deze persoon ook de rol van ICT manager had, moest hij zichzelf controleren op naleving van de privacywet bij de ICT-dienstverlening. En dat is een klassiek voorbeeld van een belangenconflict.

Maar voor de duidelijkheid: dit speelt alleen bij organisaties die een FG moeten aanstellen. Wanneer je dat niet verplicht bent, is het natuurlijk prima om welke werknemer dan ook een extra pakket taken te geven die lijken op wat een FG zou moeten doen. En dat er dan belangenconflicten ontstaan, is alleen maar zakelijk jammer voor jezelf. (En het lijkt me geen leuk werk voor die persoon.)

De AVG noemt drie situaties waarin een FG verplicht is (zie ook de richtlijnen van de AP)f:

  1. Overheidsorganisaties, zowel landelijk als lokale overheden, moeten altijd een FG benoemen. Dit geldt ook voor zorginstellingen en onderwijs dat vanuit de overheid wordt gefinancierd (zie deze blog van mijn collega’s)
  2. Stelselmatige observatie, wanneer een bedrijf of instelling stelselmatig of systematisch mensen volgt dan moet het bedrijf een FG aanstellen. Dat klinkt als recherchebureaus maar ook internetmarketingactiviteiten kunnen eronder vallen. Ook online volgen en profileren is een vorm van “stelselmatige observatie”. Dus doe je meer dan privacyvriendelijk Google Analytics dan kan een FG wel eens verplicht zijn.
  3. Omgang met bijzondere persoonsgegevens, zoals over gezondheid of seksualiteit. Wie daar structureel mee werkt, moet ook een FG benoemen. Dit raakt dus zorginstellingen maar ook vakbonden (het lidmaatschap van een vakbond is een bijzonder persoonsgegeven).

Een veel gehoorde suggestie is dat de security officer binnen het bedrijf ook de rol van FG zou kunnen vervullen. Dat kan denk ik prima naast elkaar, aangenomen dat de vereiste onafhankelijkheid en rapportage rechtstreeks naar de directeur geborgd is. Een belangenconflict tussen deze twee functies zie ik niet snel, tenzij er een situatie ontstaat waarin je vanuit security oogpunt iets geheim wilt houden dat vanwege privacywetgeving gemeld of gepubliceerd moet worden (of andersom).

Kan een directielid ook FG zijn? De chief information security officer of de cto zou dan ook deze pet op kunnen hebben, en dan heb je meteen de rapportage naar de directie geregeld. Maar nee, dat leidt te snel tot belangenconflicten, want je rapporteert dan aan jezelf. Bovendien geldt als vuistregel dat een toezichthoudende rol niet samengaat met een uitvoerende (executive) rol: wie bepaalt wat er gaat gebeuren, moet niet ook gaan toezien op wat er gaat gebeuren. Dus afdelingshoofden en directieleden zijn niet geschikt.

Arnoud

Mag direct marketing per post straks ook niet meer van de AVG?

Een lezer vroeg me:

Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk.

Het klopt dat het toesturen van geadresseerde reclamepost vanaf 25 mei dus onder de Privacyverordening (AVG of GDPR) gaat vallen. Die wet geldt immers niet alleen voor elektronische communicatie, maar voor álle verwerkingen van persoonsgegevens. (Onder de huidige wet valt het er denk ik buiten, omdat het gaat om een niet-elektronische verwerking die niet gericht is op opname in een bestand.)

Dat wil niet zeggen dat er dús toestemming nodig is voor het verzenden van post. Dat is een van de grondslagen, maar er zijn er meer. Als de post nodig is voor uitvoering van een overeenkomst (je bestelling moet opgestuurd, of nazending van een reserve-onderdeel bijvoorbeeld) dan mag dat natuurlijk ook gewoon.

En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang. Kort gezegd moet de verzender van die post dan een goede reden hebben om het bericht te versturen, en direct marketing en reclame is een dergelijk belang, zo staat in de AVG (overweging 47). Wel moet hij een privacy-afweging maken: hoe ernstig is de privacy-inbreuk die ik maak met deze post?

Ik denk dat dit in principe wel positief voor de verzender uit zal pakken. Reclame in de post is irritant maar moeilijk een schending van je persoonlijke levenssfeer te noemen. Dat zou ik pas zien als je adressen werden verkocht of verhuurd aan derden. Ik denk dat dát gewoon echt verboden is vanaf 25 mei.

Wel heb je als ontvanger van dergelijke berichten een recht van bezwaar:

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens [op grond van een eigen gerechtvaardigd belang].

Het bezwaar moet gebaseerd zijn op de specifieke situatie van de betrokkene. Hij mag dus niet volstaan met algemene of principiële bezwaren tegen verwerking van zijn gegevens, maar moet specifieke omstandigheden aandragen. Een voorbeeld zou zijn dat een medewerker in een rolstoel bezwaar maakt tegen een vertoning van camerabeelden waar gezichten zijn uitgeblurd; in zijn specifieke situatie is hij dan immers nog steeds herkenbaar.

Bij geadresseerde reclamepost is het niet zo evident, verder dan “ik vind het irritant” kom ik niet en ik betwijfel of dat genoeg is. En dat zou betekenen dat de afzender het bezwaar gemotiveerd mag afwijzen. Maar gelukkig is er een sterkere variant voor direct marketing:

Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. … Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van directe marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Hier is gewoon géén reactie op mogelijk, anders dan het bestand meteen op te schonen. Je hebt dus een keihard recht van opt-out.

Daar komt bij dat de afzender je vooraf moet melden dát hij je gegevens voor direct marketing gaat gebruiken:

21.4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

Arnoud

Je hebt nog 256 dagen om de AVG te implementeren #256totAVG

Vandaag zijn er nog precies 256 dagen te gaan tot de nieuwe Europese privacywet in werking treedt. Op 25 mei 2018 zal namelijk de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht worden. En dan wordt de wereld weer een stukje interessanter, want het is me een partij regelgeving waar je aan moet voldoen. Ik blijf erbij dat de AVG een van de belangrijkste nieuwe wetten voor de ICT-dienstverlening gaat worden, en dat de discussies en aanvaringen hierover groter gaan worden dan de auteursrechtenoorlog van de afgelopen 15 jaar.

Voor een groot deel is de AVG aanscherpen van de regels uit de huidige wetgeving. Dat echt alles verboden zou worden, is dan ook een tikje overtrokken. De angel daar zit hem er vooral in dat je uitgewerkt moet hebben waarom je doet wat je doet. Onderbouw maar eens waarom je een belang hebt bij het vergaren van iemands gegevens, en laat maar zien hoe je die toestemming hebt gevraagd die specifiek deze handeling toestaat. Je moet dit per verwerking(!) in een intern register bijhouden zodat na te zoeken is waarom je dingen doet.

Sommige dingen zijn wel nieuw. Privacy by design staat nu als harde ontwerpeis in de wet, en moet dus meegenomen zijn in elk traject om tot nieuwe informatiesystemen te komen. Bij elk scherm aangeven waar de privacy een rol speelt en wat daarover is besloten. Keuzes motiveren waarom het niet een onsje minder kon met die persoonsgegevens die je hier ziet. En aan de achterkant waarom de security op orde is.

Ah ja, security. Steeds belangrijker maar weinig méér daarover in de wet. Zorg er voor dat je het op orde hebt en dat je dat kunt aantonen. Inclusief je proces om datalekken op te sporen en te melden bij de toezichthouder (en meestal ook betrokkenen). En oh ja, ook dat moet in een intern register worden gedocumenteerd.

Veel registratie dus. Verwerkingen, datalekken, security en je designkeuzes ten aanzien van privacy. Wie gaat dat beheren? Een privacy officer oftewel functionaris gegevensbescherming is niet verplicht onder de AVG (tenzij je overheid bent, met bijzondere persoonsgegevens werkt of structureel aan tracking of besnuffelen doet) maar kan wel een goed idee zijn. In ieder geval totdat je organisatie gewend is aan de nieuwe wet.

En dat is uiteindelijk waar de pijn zit met de AVG. Dit is niet een nieuwe wet die een kwestie is van wat extra vinkjes, je privacyverklaring nieuwe terminologie geven en een Excelsheet met daarin de nieuwsbrief en de klantenadministratie genoemd bij wijze van register. Het vereist een nieuwe manier van denken, van omgaan met persoonsgegevens. Waarom hebben we die, kan het niet wat minder en hoe borgen we dat alles goed blijft verlopen? Wie denkt dat hij er zonder kleerscheuren vanaf komt met alleen die Excel erbij en wat klusjes voor Juridische Zaken, gaat het voelen.

Vandaar dat ik steeds zeg dat dit de belangrijkste wet gaat worden voor de komende 15 jaar. We hebben sinds ongeveer 2000 geworsteld in de ICT-rechtspraktijk met de botsing tussen auteursrecht en ondernemen, van notice/takedown tot aansprakelijkheid van tussenpersonen daarvoor. Ook het merkenrecht (denk domeinnaam) was natuurlijk een belangrijke bron van conflicten. Die strijd is wel zo’n beetje voorbij, maar was zo tekenend dat je veel kantoren zag die zich IE/ICT kantoren zijn gaan noemen. Vandaag de dag zou ik eerder Privacy/ICT kantoren verwachten.

Als laatste: nee, er komt geen overgangsrecht vanaf 25 mei. We zitten namelijk al in het overgangsrecht, dat twee jaar duurt. Daarvan zijn dus nog 255 dagen over. Dus wie nog niet begonnen is: heel veel sterkte met het halen van de deadline.

Arnoud

Gaat nu echt alles verboden worden onder de AVG?

Een lezer vroeg me:

Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel geen enkel bedrijfsproces kan nog blijven bestaan. En de boetes zijn enorm. Dit kan toch niet goed gaan, deze wet?

Dat de AVG veel gaat veranderen in de praktijk staat als een paal boven water. Maar veel verhalen die je leest, zijn vooral bedoelt om urgentie (of onaardig gezegd paniek) op te roepen bij de lezer.

De fundamentele principes uit de AVG zijn hetzelfde als uit de Wbp die we nu al een kleine 17 jaar hebben. Er moet een grondslag zijn om met persoonsgegevens te gaan werken, je moet zorgen voor goede beveiliging en mensen moeten hun rechten kunnen halen. Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat). Ook moeten mensen hun hele dossier kunnen opvragen, in plaats van alleen maar inzien.

Natuurlijk zijn er wel verschillen. Zo is het vragen om toestemming moeilijker geworden: dat moet kort gezegd apart van andere vragen en vrijwillig – “geef toestemming of rot op” mag alleen nog als dat vooraf en heel duidelijk gebeurt. De privacyverklaring moet in eenvoudiger taal (taalniveau B2, niet C1 of C2 dat we nu altijd zien). Gegevens zijn nu eerder persoongegeven dan voorheen. En zo kan ik nog wel even doorgaan.

Maar ik zie het vooral als accentuering van het belang van zorgvuldige omgang met persoonsgegevens, iets dat we in het verleden nooit echt hadden omdat er geen boetes op overtreding stonden. Plus: in de VS bestond die zorg om persoonsgegevens nooit, dus de ICT-cultuur heeft nooit zo leren omgaan met persoonsgegevens als ze dat wel heeft met zeg aansprakelijkheid of sluiten van contracten. Het is die cultuuromslag waar nu al deze pas-op-de-wereld-vergaat berichten door komen.

Arnoud