Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet als je iemands social media profiel bezoekt. Natuurlijk is er geen toestemming gevraagd want even zo natuurlijk ziet het bedrijf hier een eigen legitiem belang – fraudebestrijding. Ik word zo moe van die discussie, dus laten we het eens over de informatieplichten hebben.

Een van de grondslagen om onder de AVG met persoonsgegevens te kunnen werken is het eigen legitiem belang. Je zegt dan grofweg, ik heb gewoon een eerlijke reden om dit te mogen doen en ik houd rekening met je privacy, maar dit moet gewoon kunnen. Dat “ik houd rekening met je privacy” is belangrijk; je moet wel waarborgen inbouwen en rekening houden met bezwaren.

Wat zijn nou “eerlijke redenen”? Nou ja, fraudebestrijding dus bijvoorbeeld. Net als netwerkbeveiliging of beschermen van eigendom, de reden dus dat je security monitoring of cameratoezicht mag inzetten. In principe, want je moet dus die afweging maken. Honderd camera’s op de werkvloer gaat hem dus niet worden, dat is niet proportioneel in die afweging ook al heb je eigendommen te beschermen.

Ik roep altijd dat je niet om toestemming moet vragen (tenzij je een nieuwsbrief hebt), en dat blijf ik ook nu doen. Lusha kiest volgens mij inderdaad de juiste grondslag. Ik geloof er vervolgens direct geen bal van dat ze die afweging hebben gemaakt, ze citeren een stukje AVG en produceren een leuterverhaal zonder onderbouwing – ik was blij verrast dat de Trouw-journalist dat keurig affakkelt overigens. Maar ik zie wel hoe je een lange discussie kunt krijgen over de inhoud van zo’n afweging.

De insteek van professor Zwenne (geciteerd in Trouw) is een veel simpeler én effectiever: je hebt als betrokkene het recht geïnformeerd te worden voor of bij het eerste gebruik van die gegevens. En dat is dus niet “wanneer je gebeld wordt” maar “wanneer Lusha je nummer in hun database stopt of via de API opvraagt bij vagedatabases.kremvax.ru”. En dat is niet gebeurd, zeker weten. Dus daarmee overtreedt Lusha keihard de AVG, en als ze een jurist hadden ingehuurd (nee, ik had ze lachend naar buiten gewezen) dan hadden ze dat geweten.

Blijft natuurlijk het probleem van handhaving: het is een Amerikaans-Israelisch bedrijf, dus een boete opleggen en incasseren is een lastig traject. Ik kon zo gauw geen Nederlandse bv ontdekken waar royalties (de Dutch/Irish sandwich) doorheen gaan of iets dergelijks, in ieder geval.

Wel is het natuurlijk zo dat iedereen die Lusha zakelijk gebruikt, automatisch de AVG overtreedt. Ja, ook als jij zelf wél een duidelijk onderbouwd gerechtvaardigd belang hebt én mensen meteen informeert dat je nummers bij Lusha inkoopt. Want naast die specifieke regels is er ook artikel 5, de basisprincipes. En eentje daarvan is “rechtmatig, behoorlijk en transparant”. Het is natuurlijk niet rechtmatig of behoorlijk dat je gegevens inkoopt bij een bedrijf dat zo duidelijk de AVG overtreedt. Ook niet als je een vrijwaring hebt opgenomen bij een garantie van Lusha dat ze de AVG wél naleven.

Arnoud