AVG: beperking of mogelijkheid?

Na één jaar AVG is het de vraag: wat doen we ermee? Deze privacywet van de Europese Unie wordt meestal uitgelegd als een beperkende wet maar niets is minder waar. Door de regie voering naar u toe te trekken, is juist véél mogelijk. De burgemeester van Rotterdam kan bijvoorbeeld ook prima informatie delen met zijn collega in Nissewaard, als dat maar met passende waarborgen is omkleed.

Geschreven door: Sergej Katus | Partner bij Privacy Management Partners

Op 25 mei 2019 was het een jaar geleden dat de nieuwe privacywet, de AVG volledig van kracht werd. Verjaardagen zijn meestal een feestelijk moment. Maar als het om de AVG gaat, valt er kennelijk niets te vieren. Met name Ahmed Aboutaleb trok de aandacht door te signaleren dat de AVG hem teveel beperkt. Hij mag niet eens meer de burgemeester van zijn buurgemeente Nissewaard waarschuwen tegen een criminele ondernemer die Rotterdamwas uitgewerkt. ‘Ik begrijp alle overwegingen rond privacy, maar hier is privacy niet voor uitgevonden’.

De Volkskrant van 24 mei doet er een schepje bovenop in het artikel ‘Publieke sector wordt belemmerd door privacywet – en dat leidt tot gevaarlijke situaties’. Gemeenten houden gegevens zoveel mogelijk binnen de eigen organisatie en ervaren dezelfde kramp bij hun partners. Gemeenteambtenaren die zich inzetten voor jonge schoolverlaters, weten bijvoorbeeld niets over hun psychische gesteldheid. Maar soms zitten er gevaarlijke gasten tussen terwijl ook de GGZ extreem terughoudend is met informatie geven.

Topje van de ijsberg

Het zijn situaties zoals dit waardoor de moord op Anne Faber kon ontstaan. En dat is nog maar het topje van de ijsberg. De AVG is van toepassing op iedere verwerking (gebruik, opslag of uitwisseling) van persoonsgegevens (informatie over natuurlijke personen), met uitzondering van opsporingsinformatie en strafrechtelijke informatie. Zónder persoonsgegevens geen gemeentebelastingen, documentuitgifte, thuiszorg, WOZ-beschikkingen, schuldhulpverlening, lintjesregen, horeca-vergunningen, bezoekjes aan jubilarissen enzovoorts. De AVG bepaalt wanneer een verwerking van persoonsgegevens legitiem is, en wanneer niet.

Bestuurlijk maakt dat de AVG tot een hele strategische wet. Want hoeveel gemeente hou je over als je géén persoonsgegevens mag verwerken? Verwerking van persoonsgegevens is voor iedere gemeente ‘core business’. Het signaal van burgemeester Aboutaleb dat hij wordt beperkt, moeten we vooral in dit licht bezien.

Maar er is iets geks aan de hand, valt ook Lieke Sievers op. Lieke Sievers is burgemeester in Edam-Volendam. Bij haar werkzaamheden loopt zij er tegenaan dat de beperkingen van de AVG vooral het gevolg zijn van onze omgang met deze EU-wet. ‘Nu ik de AVG begin te snappen en er met deskundigen over heb gesproken, krijg ik steeds meer de indruk dat de AVG eigenlijk als excuus wordt gebruikt voor het niet delen van informatie terwijl dat wel mogelijk is. Of uit verkramping door een angst voor boetes, omdat men bang is voor de Autoriteit Persoonsgegevens.’

‘Het probleem is dat er teveel krachten in het spel zijn die de AVG roomser uitleggen dan de paus – op persoonlijk niveau of op organisatieniveau. Dit is in mijn ogen zoals het altijd al geweest is. Want informatie is macht. We delen informatie niet omdat we niet mogen of kunnen, maar omdat we niet willen. Als we die houding veranderen, blijkt dat de AVG vooral praktische handvaten te bieden en niet zozeer belemmeringen.’

‘De AVG geeft wat mij betreft aan hoe je wél informatie kunt delen. We  moeten dus vanuit een andere grondhouding gaan denken over het delen van informatie, en veel meer gaan redeneren naar de werkelijke bedoeling van de AVG’.

Niet heilig

Hoe schrijnend de moord op Anne Faber ook is, de gang van zaken is illustratief voor het probleem: informatie werd niet gedeeld waar dat wel had gemoeten. Maar wie de AVG beter op zich in laat werken, zal het opvallen dat de AVG aangeeft dat informatie juist wél moet worden gedeeld waar dat noodzakelijk is. Zo was het van zwaarwegend algemeen belang om informatie over Michael P. te delen, omdat hij een gevaar was voor anderen.

De EU-wetgever licht dat toe in overweging 4 AVG: ‘De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.’ Zoals de grondrechten van Anne Faber op bescherming van haar waardigheid, recht op leven, haar lichamelijke en geestelijke integriteit, vrijwaring van vernedering, haar recht op vrijheid en haar recht op veiligheid.

Bescherming van persoonsgegevens is óók zo’n grondrecht maar is niet heilig want zwaarwegendere belangen prevaleren. Bovendien wordt vaak uit het oog verloren dat de Europese Unie met de AVG vooral ook innovatie en vrije uitwisseling van informatie wil bevorderen. Of, in de woorden van artikel 1 AVG: ‘Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens’.

De knop om

Wat kennelijk hoognodig is, is dat we de knop omzetten. De AVG is niet de wet die ervan uitgaat dat gegevensverwerking een inbreuk is op de privacy en dat gegevensverwerking daarom zoveel
mogelijk aan banden moet worden gelegd. De AVG is de wet die aangeeft hoe je gegevens wél mag verwerken, met respect voor de privacy. Om de ruimte die de EU-wetgever aanreikt goed te benutten, is het zaak om anders met de AVG te leren omgaan. In plaats van de AVG over te laten aan anderen, is visie en actieve sturing nodig. Zorg daarom voor een portefeuillehouder in het college. In gemeenten zoals Edam-Volendam, Alphen aan den Rijn, Waddinxveen, Nieuwkoop en Bernheze is de burgemeester zelf die portefeuillehouder. Met de juiste insteek en assistentie
kunnen deze veel voor elkaar krijgen. Thema’s als veiligheid, het sociaal domein, smart city enzovoorts, worden daardoor stukken handelbaarder – en dan nog wel op zo’n manier dat de aanpak goed valt uit te leggen.

Stroperigheid en juridisering zullen plaats moeten maken voor pragmatisme en oplossingsgerichtheid. Wat dat betreft is het raadzaam om ook het boek ‘Verdraaide organisaties’ van Wouter Hart ter hand te nemen, die beschrijft hoe technocratie teveel de overhand heeft gekregen in bestuurlijke vraagstukken en hoe je doelen beter behaalt door weer vanuit de bedoeling te gaan redeneren.

In essentie stelt de AVG vier voorwaarden:

1. legitimiteit;
2. risicosturing;
3. bestuurlijke borging, op een zodanige manier dat het college hierover
4. verantwoording kan afleggen (‘control & accountability’).

Wat dat aangaat, past de AVG helemaal bij ontwikkelingen op het gebied van horizontale verantwoording en de rechtmatigheidsverantwoording door het college vanaf 2020. Cruciaal in de AVG is het woord ‘passend’. Stuurt het college er wel voldoende op dat passende maatregelen zijn genomen om mens en organisatie te beschermen tegen de risico’s van de informatiemaatschappij?

Instrumenteel voor de beantwoording van die vraag is de beoordeling van die risico’s met behulp van goede privacy impact assessments (PIA’s) – de AVG spreekt in dit verband van objectieve risicobeoordeling. Vervolgens draait het om de vraag of de uitkomsten van PIA’s hebben geleid tot passende organisatorische en technische beheersmaatregelen. Volgens het vakjargon is dan privacy by design gerealiseerd, wat inhoudt dat de gegevensverwerking voldoet aan de eisen van de AVG. Zowel intern als in de samenwerking met anderen, handelt u dan AVG-conform en mag informatie worden gedeeld.

Toestemming niet de oplossing

We moeten echt af van het misverstand dat de AVG ieder mens het recht geeft om in controle te zijn van de verwerking van zijn of haar gegevens. Het idee dat voor verwerking van persoonsgegevens steeds individuele toestemming vereist is, hangt hier nauw mee samen. Voor de AVG is een dergelijke redenering je reinste flauwekul en in strijd met de wet. De AVG verduidelijkt juist wanneer toestemming in het geheel niet aan de orde is – zoals in de gevallen dat de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering taken van algemeen belang of openbaar gezag.

Wie er dieper over nadenkt begrijpt ook waarom. Inherent aan het leven in de informatiemaatschappij is dat persoonsgegevens om allerlei goede redenen overal worden verwerkt. Steeds om toestemming vragen is ronduit klantonvriendelijk. Toestemming vragen is juridisch bovendien vaak problematisch en mogelijk ook risicovol, zoals de zaak van Anne Faber illustreert. Zie voor minder ernstige maar nog steeds nare voorbeelden het rapport ‘Van wie is die privacy eigenlijk?’ van de Nationale Ombudsman die benadrukt dat het erom gaat dat je mensen hélpt.

Gewoon doen

Om in de hiervoor al aangehaalde woorden van de EU-wetgever te blijven dat de verwerking van persoonsgegevens ten dienste van de mens moet staan: waarborg dat inderdaad. Wie
collega’s waarschuwt tegen criminelen, doet dat nog steeds ten dienste van de mens – althans ten dienste van degenen die het slachtoffer dreigen te worden. Welbeschouwd is er onder de AVG daarom ook niets veranderd sinds het rapport ‘Gewoon doen’ uit 2009 van de Commissie Veiligheid en de Persoonlijke Levenssfeer onder voorzitterschap van de Utrechtse oud-burgemeester Annie Brouwer-Korf. De kunst is om het hoofd koel te houden en op een praktische manier te sturen. Als het goed is, beschikt uw gemeente inmiddels over een bestuurlijk-juridische specialist, uw functionaris voor gegevensbescherming (FG), die u hierbij assisteert in de rol van onafhankelijk adviseur en toezichthouder.

Een juiste, oplossingsgerichte aanpak stelt u in staat om met vertrouwen verantwoording af te leggen. Wie dan nog kritiek heeft, handelt zelf in strijd met de AVG. Ook van AP-boetes kan dan
geen sprake zijn. Want bij een AVG-conforme aanpak verdient u erkenning, zowel maatschappelijk, juridisch als politiek. Per slot van rekening is de AVG óók bedoeld om u zekerheid te bieden.