Nog meer dingen die van de AVG ineens niet zouden mogen

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

“Kerk mag niet meer neuzen in Gemeentelijke Basisadministratie”

gbaSnuffelen in persoonsgegevens, of pesten van christenen? Het voorstel van D’66 om te gaan verbieden dat kerken automatisch te horen krijgen dat een ingeschrevene is verhuisd, maakte nogal wat stof los. En bij mij de juridische vraag, eh, wacht even, hoe kan het dat dit al zo is, want de Wbp is toch opt-in?

De Stichting Interkerkelijke Ledenadministratie oftewel SILA blijkt al jaren van gemeentes mutaties te ontvangen uit de GBA (verhuizingen, overlijden, naamswijzigingen en wijziging burgerlijke staat). De SILA laat kerken deze mutaties dan met “maximale privacybescherming” verwerken in hun eigen bestanden. Het idee hierachter is dat zo de gemeente niet hoeft bij te houden wie bij welke kerk zit (wat op gespannen voet staat met de Wbp) en dat een kerk toch al weet wie jij bent en waar je woont (je bent immers lid) en dus zo alleen bij gegevens komt van hun leden. De vlag bij de gemeente hiervoor heet de SILA stip (geruststellend staat er dan bij: “Het is niet letterlijk een stip, maar een digitaal kenmerk.”).

De Wet bescherming persoonsgegevens verbiedt het verwerken van bijzondere persoonsgegevens zoals geloof zonder toestemming, maar er is een uitzondering voor de ledenadministratie van kerkgenootschappen, op zich wel logisch. Minder logisch vond ik hoe de Wbp de GBA toestaat dit te doen, want de GBA is geen kerk.

Maar de Wbp géldt niet voor verwerkingen die onder de Wet GBA vallen. In plaats daarvan regelt de Wet GBA in artikel 99 dat het GBA op grond van een speciale regeling systematisch persoonsgegevens mag delen met onder meer “één samenwerkingsverband van kerkgenootschappen of andere genootschappen op geestelijke grondslag”, die stichting dus zo bepaalt artikel 68c van die regeling.

Wel moet de Wbp zo veel mogelijk worden nageleefd staat hier, en vandaar dat de SILA die constructie met haar figuurlijke stip heeft opgetuigd en diverse maatregelen voor de privacy heeft genomen. Een “schoolvoorbeeld voor de privacybescherming”, zo citeert men met instemming privacyhoogleraar Franken, toch bepaald niet de minste. En inderdaad, alle veiligheidsmaatregelen zijn genomen en dat ziet er goed uit. Maar daar gáát het niet om; de discussie is waarom deze gegevensverstrekking überhaupt plaats moet vinden. En gezien de kop boven deze blog is mijn insteek wel duidelijk. Wat vinden jullie?

Arnoud