SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
De AVG is inmiddels al jaren van kracht, maar nog steeds worstelen veel organisaties met de vraag: wat mag er wel en niet? Volgens Hoogleraar Recht Gerrit-Jan Zwenne ligt dat aan de complexiteit van de wet, maar ook aan de manier waarop de Autoriteit Persoonsgegevens (AP) haar rol invult. “De toezichthouder heeft een erg ruime taakopvatting. Ze trekken zich weinig aan van kritiek en hanteren hun eigen interpretaties. Dat leidt tot veel onzekerheid bij organisaties”, stelt Gerrit-Jan.
De activistische houding van de toezichthouder
Sinds de invoering van de AVG in 2018 ziet Zwenne dat de AP haar rol steeds verder oprekt. “Waar andere toezichthouders zich beperken tot het toezicht op hun wet, bedenkt de AP nogal eens zelf normen en regels. Ze hebben opvattingen over wat een gerechtvaardigd belang is, over scraping en over cookies – en dat gaat vaak verder dan de wet toestaat”. Een sprekend voorbeeld is de opvatting van de AP dat een commercieel belang nooit een gerechtvaardigd belang is voor het verwerken van persoonsgegevens. “Dat standpunt was vanaf het begin omstreden”, zegt Zwenne. “De hoogste Europese rechter heeft in een zaak over de KNLTB uitgesproken dat die uitleg van de AP onjuist was. Toch blijft de AP moeite hebben zich daarnaar te gedragen. Ze hebben grote moeite te erkennen dat ze het mis hadden”. Het gevolg: veel bedrijven en instellingen doen maar wat de toezichthouder zegt, zelfs als ze weten dat het juridisch niet klopt. “Een procedure starten kost tijd, geld en energie. Dan denken organisaties: ik doe het wel zoals de AP wil, ook al is het eigenlijk niet verplicht”.
Onzekerheid en AVG-kramp
Die houding heeft grote gevolgen voor de praktijk. Zwenne noemt het “AVG-kramp”: organisaties die uit angst voor boetes of negatieve publiciteit activiteiten maar helemaal niet meer uitvoeren. “Een gemeente, zorginstelling of bedrijf wil geen discussie met de toezichthouder. Dus zeggen adviseurs al snel: doe het maar niet, dan kan het ook niet fout gaan. Maar dat is niet goed voor innovatie of dienstverlening”. Volgens Zwenne mag er binnen de privacywet veel meer dan vaak wordt aangenomen. “De AVG staat meer toe dan men denkt. Als je mensen goed informeert over wat je met hun gegevens doet, is er meestal ruimte om persoonsgegevens te verwerken. Je moet alleen weten binnen welke randvoorwaarden het kan”.
De noodzaak van deskundige adviseurs
Een belangrijk probleem is dat ook privacy- en juridisch adviseurs soms te voorzichtig zijn. “Zij weten het ook niet altijd zeker en kiezen dan voor de veilige route. Vanuit hun perspectief begrijpelijk – dan hebben ze het nooit fout gedaan – maar het leidt tot onnodige beperkingen. Een goed adviseur weet wat de regels werkelijk zeggen én wanneer de toezichthouder te ver gaat”, aldus Gerrit-Jan. “Als je de wet goed kent, kun je tegen een klant of bestuurder zeggen: ja, doe het maar, maar let op deze voorwaarden en informeer de betrokkenen goed. Dat is de manier waarop je echt AVG-proof kunt werken: door te weten wat wel kan, niet alleen wat niet mag”.
Nieuwe wetgeving voor meer duidelijkheid
Gelukkig komt er verbetering aan. In de aanpassing van de Nederlandse uitvoeringswet van de AVG wordt namelijk een consultatieplicht opgenomen voor de AP. “Ik heb zelf aangedrongen op die bepaling”, vertelt hij. “Als de AP straks een bepaalde uitleg van de wet wil hanteren, moeten ze die eerst voorleggen aan stakeholders: bedrijven, consumentenorganisaties en wetenschappers. Die reacties worden openbaar. Daardoor wordt het voor de toezichthouder minder makkelijk om vast te houden aan extreme standpunten”. Dat leidt volgens hem tot meer draagvlak en duidelijkheid. “Als alle kritiek is besproken en afgewogen, zullen organisaties eerder geneigd zijn zich eraan te houden. Nu is het top-down beleid zonder overleg, en dat schaadt het gezag van de toezichthouder”.
Ontdek de ruimte voor innovatie binnen de AVG
Een goed begrip van de AVG is essentieel om met meer vertrouwen te handelen. “Wie de wet echt kent, ziet dat de meeste risico’s beheersbaar zijn. Je kunt verantwoord met persoonsgegevens werken zonder in strijd te handelen met de privacywet. Maar daarvoor heb je kennis nodig – kennis van de juridische basis én van de ruimte die de wet laat”, zegt Zwenne. Dat is precies waar de cursus Praktische toepassing Privacywet AVG bij helpt. Deelnemers leren wat de wet écht zegt, hoe ze de regels kunnen toepassen binnen hun organisatie en hoe ze risico’s beheersbaar maken zonder innovatie te blokkeren. “Zo voorkom je AVG-kramp en bouw je aan een organisatie die écht AVG-proof is”, besluit Zwenne. Wil je meer weten over het programma? Vraag dan de brochure aan. De cursus is ook op maat te volgen als Incompany-traject.
