Auteur: Sergej Katus van PMP
In deze blog analyseert Sergej Katus van PMP en hoofddocent van de opleiding Praktische toepassing Privacywet AVG & uitvoeringswet AVG waarom privacy zo’n problematisch woord is. Privacy wordt meestal in één adem genoemd met de AVG. Maar daarmee houden we ons voor de gek. Want de AVG gaat niet alleen over privacy en dat heeft een reden. Door de AVG toch met privacy te verwarren, is er te veel ruimte voor tumult. Dat kost ons allemaal verschrikkelijk veel tijd, energie en ook geld. Dus laten we stoppen met privacy en focussen op waar het in de AVG wérkelijk om draait: mensgerichtheid.
Hoe vaak spreek jij van ‘privacy’ als je het over de AVG hebt? Ik heb besloten om hiermee te stoppen als het even kan. Het woord is meestal misplaatst en leidt tot polarisatie.
Zoals die man die op hoge poten naar de rechter stapte, omdat een gemeentelijke afvalpas in zijn ogen een schending was op de AVG – wánt een inbreuk op de privacy. De Raad van State gaf hem ongelijk. Of die studenten, die een oplossing om in coronatijd online te kunnen examineren een schending vonden van de AVG. Hier hetzelfde verhaal.
Zo had ook de landelijke discussie over SyRI niet gehoeven. SyRI was de oplossing van de overheid om uitkeringsfraude te detecteren met behulp van data-analyse. In de rechtszaak die hierover is gevoerd, won privacy niet. De overheid verloor alleen omdat niet was voldaan aan de AVG.
En dat zijn nog maar de rechtszaken. Die vormen het minieme topje van een joekel van een ijsberg, vol mythes en misverstanden over de AVG – vanwege ‘privacy’.
Ondermijning van de AVG
Begrijp mij goed; ik ben absoluut voor privacy. Volgens mij is iedereen voor privacy. Maar dat maakt het woord ook zo verraderlijk – zelfs Trumpiaans. Want privacy is geen wettelijk begrip. Met dat ene woord kaap je de dialoog (wie niet voor is, is tegen), en lijkt het alsof het verstand stopt en emoties de boventoon voeren. Want iedereen heeft wel een mening over privacy – wat dat betreft is privacy net voetbal.
En onderschat die emoties niet. Ze zijn de laatste jaren flink gevoed door angstwekkende berichten over datalekken, algoritmes, gezichtsherkenning, miljoenenboetes, social media en big tech-bedrijven. De angst regeert. Cognitieve bias, heet dat in de psychologie.
Ik zag dit laatst weer gebeuren in bestuurlijk overleg over het verbeteren van de ouderenzorg met behulp van data-analyse. Ineens had iedereen het over hackers, datalekken, de film Minority Report, Facebook en privacyschending.
Hallo! We hadden het toch over hoe je ouderenzorg verbetert? Op deze manier kun je iedere vorm van innovatie wel op persoonlijke meningen laten stranden, maar op die manier ondermijn je de AVG.
Gele kaart
Want het ouderenzorgproject dat op dat ogenblik werd besproken, was op basis van een serieuze DPIA vormgegeven, volgens de principes van data protectie by design. Daarmee voldeed het project prachtig aan de AVG.
Maar in plaats van open te staan voor dat inzicht, zakte het peil van de discussie tot ongeveer hetzelfde niveau als de opvatting dat je van coronavaccins opgezwollen testikels krijgt. En dat terwijl er onder de AVG geen plaats meer is voor ongefundeerde uitspraken, omdat we pas van risico mogen spreken als dat blijkt uit een objectieve beoordeling (zoals een goede DPIA). Dat is het tegenovergestelde van een discussie op basis van persoonlijke meningen en politieke voorkeuren.
Ik heb mij voorgenomen om de volgende keer dat zo’n discussie weer alle kanten op gaat, letterlijk de gele kaart te trekken. Want du moment dat je de AVG verwart met privacy, maak je iets van de AVG wat er niet staat. Sla de AVG er zelf maar op na: afgezien van een terloopse verwijzing in één enkele voetnoot, tref je dat woord nergens aan. Als de AVG wél over privacy was gegaan, had het er bol van gestaan. Maar dat doet het niet.
Vooral bij EU-verordeningen is het buiten de orde om er dan toch nog ‘privacy’ in te lezen, want daar zijn het EU-verordeningen voor (de zwaarste vorm van wetgeving die we kennen). Poolse toestanden daargelaten, heeft zelfs het privacyartikel in onze Grondwet met de komst van de AVG aan betekenis ingeboet.
De knip tussen privacy en de AVG
Stel je daarom de vraag waarom ‘privacy’ niet in de AVG voorkomt. En lees dan de opening van de AVG, met name overweging 1 en 4: de AVG regelt niet het recht op privéleven, maar het recht op gegevensbescherming – de EU-wetgever legt een knip.
Wat het recht op gegevensbescherming precies inhoudt, is uitvoerig uitgewerkt in de AVG, zoals ook de rechter constateerde in de al eerder aangehaalde SyRI-zaak. Met name relevant zijn de passages in overweging 4 AVG:
- Dat verwerking van persoonsgegevens ten dienste van de mens moet staan.
- Dat het recht op bescherming van persoonsgegevens niet absoluut is, maar moet worden bezien in relatie met de functie ervan in de samenleving.
- Dat de AVG alle grondrechten waarborgt. Dus niet uitsluitend het recht op privéleven.
Zo hangt ouderenzorg in het vorige voorbeeld samen met de grondrechten op eerbiediging van de menselijke waardigheid en gezondheidsbescherming. Jeugdzorg met het recht op veiligheid en onderwijs. Over veiligheid gesproken, wat dacht je van camera’s op straat of zoiets als internetmonitoring door een gemeente? Want dat komt dankzij de AVG meteen in een ander daglicht te staan. Gemeenten helpen immers om diezelfde veiligheid te waarborgen – dat hebben we wettelijk zo afgesproken.
Maatschappelijk probleem
Zolang we de AVG gelijkschakelen met privacybescherming, kost de discussie ons allemaal onnodig veel tijd, energie en ook geld. Dat is inmiddels een acuut en ernstig probleem, omdat privacy verlammend werkt – vaak in situaties waar met urgentie oplossingen nodig zijn. Ik snap daarom wel waarom de AVG in bestuurlijk Nederland zo’n slechte naam heeft gekregen. Maar dat ligt niet aan de AVG, maar aan het beeld dat we rond privacy creëren.
De oorsprong van dat beeld is te herleiden tot één zinnetje dat in de vorige eeuw nogal opgang deed: ‘Verwerking van persoonsgegevens is een inbreuk op de persoonlijke levenssfeer’. Je komt dat zinnetje (of iets dat er op lijkt), vaak tegen in het privacy(!)–recht en het werkt als een mantra: als je het maar vaak genoeg herhaalt, ga je er vanzelf in geloven. Het bepaalt ook je wereldbeeld.
Zo steekt de Autoriteit Persoonsgegevens precies op die manier van wal in een normuitleg voor de private sector. Lees de eerste zinnen maar eens. Als je zó begint, belooft dat geen goeds. Het probleem is alleen; wat daar staat is géén AVG – en dat is kwalijk voor een AVG-toezichthouder. Geen wonder dat de rechter de AP daarom terugfloot. Maatschappelijk was de schade echter al geleden.
Niet vies, maar wenselijk
Zeker. Verwerking van persoonsgegevens kán leiden tot een inbreuk op de persoonlijke levenssfeer. Alleen niet als zodanig, maar door het effect ervan, zoals in de toeslagenaffaire. Dáár was de AVG dan ook serieus geschonden. Was het allemaal wel AVG-conform aangepakt? Dan had je nu geen toeslaggedupeerden gehad.
Er is nog iets aan de hand met het zinnetje, want let erop dat ‘inbreuk op de persoonlijke levenssfeer’ iets vies suggereert. Alsof je iets schandaligs uitspookt.
Hoezo? Gegevensverwerking is meestal heel wenselijk (‘noodzakelijk’ in AVG-taal). Je leven en welzijn hangen er immers van af, in meer of mindere mate. Want ga maar na; persoonsgegevens zijn een verlengstuk van jezelf. Door de verwerking ervan beschik je over rechten, plichten, privileges, inkomen, lidmaatschappen, abonnementen, gezondheidszorg, enzovoorts. Zonder gegevensverwerking besta je als het ware niet.¹
Waarom zouden we bijvoorbeeld je salaris, je Nederlanderschap, je zwemdiploma, een koopakte of bijvoorbeeld een filmticket vandaag de dag nog steeds moeten framen alseen ‘inbreuk op de persoonlijke levenssfeer’? Dat is niet meer van deze tijd.
Besluit
Kortom; ‘privacy’ veroorzaakt ruis en leidt tot veel problemen. We kunnen daarom maar beter stoppen met dat woord als we het over de AVG hebben.
Dat wordt nog een leuke uitdaging, want we gebruiken ‘privacy’ voortdurend: privacy-professionals, privacybeleid, privacy compliance, privacy statements, privacy audits, privacyjuristen, privacy officers, privacywaakhond. En jawel – ook Privacy Management Partners. Maar daar verzinnen we wel wat op.
Privacy manage je door het de plek te geven die het wél verdient. Voluit gezegd hebben we het dan over eerbiediging van je privé-, gezins- en familieleven en communicatie. Maar verwar dat niet met ieders recht op gegevensbescherming. Hooguit helpt de AVG om van de 50 rechten en vrijheden, ook je recht op privacy te respecteren.
En dat is maar goed ook, want privacy willen we allemaal. Maar AVG-conforme oplossingen zoals dat ouderenzorg-project zijn óók keihard nodig, willen we kunnen meegaan met de tijd.
¹ Zie ook Colin Koopman, How we became our data – a genealogy of the informational person, Chicago University Press, 2019
Implementatie en werken volgens de wet
De cursus praktische toepassing AVG & Uitvoeringswet UAVG geeft je praktijkgerichte uitleg over de werking van de Algemene Verordening Gegevensbescherming (AVG). Je leert stap voor stap hoe je vanuit de AVG dient om te gaan met privacyvraagstukken, hoe je kennis deelt en informatie uitwisselt zonder hierbij inbreuk te maken op de privacy.
Bezoek de website