Wat was er veel reuring rondom de invoering van de AVG op 25 mei 2018. Inmiddels zijn we een paar maanden verder en is er wezenlijk nog niet echt heel veel veranderd.
De invoering van de Algemene verordening gegevensbescherming leidde in het eerste half jaar van 2018 tot heel wat commotie. Inmiddels is het stof enigszins neergedaald en vraag ik me af wat er nu echt veranderd is. Onze privacy was immers ook vóór de AVG al op vele manieren gewaarborgd. Wat we wel kunnen constateren, is dat we bij de naleving van de nieuwe privacyregels met elkaar aspecten als haalbaarheid en redelijkheid vooral niet uit het oog moeten verliezen.
Paranoïde
Natuurlijk is het goed dat we regelmatig onze privacy tegen het licht houden in onze actuele technologische context. Maar waar stopt het redelijke en gezonde verstand en worden we paranoïde? Privacy is namelijk altijd al een belangrijk aspect geweest en ‘zakelijk gezien’ waren daar ook binnen de oude wetgeving voldoende waarborgen voor opgetuigd. De werkelijke privacyrisico’s zitten wat mij betreft ook niet in de business-to-consumer-wereld, maar veel meer in de private sfeer. Daar word je voordat je er erg in hebt en zonder wederhoor aan de schandpaal genageld door iedereen die klakkeloos zaken retweet en doorstuurt via social media. En daar verandert ook de AVG niet zo heel veel aan.
In een zakelijke context echter, kun je niet puur en alleen op privacy sturen zonder elders in de problemen te komen. Juist hier is het belangrijk om zelf na te blijven denken en je niet klakkeloos vast te klampen aan de letter van de wet (en welke wet dan wel?). Neem de bewaarplicht, waarbij verschillende wetten werken met hun eigen regels. En welke wet weegt er dan uiteindelijk het zwaarst? Neem dit voorbeeld: middelgrote ondernemingen moeten de gegevens van hun administratie 7 jaar (en soms zelfs langer) bewaren voor het geval zij controle krijgen. Hoe verhoudt dit voorschrift zich dan tot de privacywetgeving die bepaalt dat persoonlijke gegevens – die ook onderdeel uitmaken van de administratie – veel korter bewaard mogen worden?
En als je als organisatie duizenden klanten bedient en generieke maatregelen hebt getroffen met betrekking tot de AVG, dan zou dat toch voldoende moeten zijn. Je kunt naar mijn idee in dit geval niet verwachten dat je één voor één duizenden verwerkerscontracten af gaat sluiten. Of als iemand aangeeft op dit moment geen persoonsgegevens te verwerken, terwijl het nu en in de toekomst wel kan of mogelijk is. Hoe moet je daar als grote leverancier dan mee omgaan? “Komt u maar terug als het wel aan de orde is?” Lijkt me niet. Je verzekert je huis ook niet tegen brand op het moment dat er brand uitbreekt.
Passende technische en organisatorische maatregelen
Artikel 32 van de AVG bepaalt dat iedere Verwerkingsverantwoordelijke en Verwerker passende technische en organisatorische maatregelen moeten nemen die nodig zijn om een beveiligingsniveau te kunnen waarborgen dat past bij de risico’s. Hoe die maatregelen eruitzien, is onder andere afhankelijk van de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoelen.
Dat betekent dat de maatregelen afgestemd moeten zijn op de specifieke situatie. Voor een verzekeringsmaatschappij zal de invulling van de maatregelen dus anders zijn dan voor een slager. Dit is de reden dat er geen algemeen advies kan worden gegeven over de te treffen maatregelen.
Artikel 32 benoemt wel een aantal maatregelen die, waar passend, ingezet kunnen worden:
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Eigen verantwoordelijkheid
Waar we vooral voor moeten waken is dat we door eerdergenoemde onduidelijkheden en wetgeving die elkaar tegenspreekt in een afwentel-cultuur terecht komen. Met personen en bedrijven die daarbij hun eigen falen en verantwoordelijkheden afschuiven op een ander en geen eigen verantwoordelijkheid meer (durven) nemen.
Ook als softwareleverancier moet je je verantwoordelijkheid niet uit de weg gaan. Maar dat de gebruiker van de software, die per slot van rekening ‘achter het stuur zit’ bij fouten geen enkele blaam treft, verbaast mij iedere keer opnieuw. Waar gaat de wereld heen als ik de leverancier van mijn auto (en nee, het is geen Tesla) aanklaag omdat ik hem zelf tegen een boom aan rijd?
Laten we dus niet paranoïde alles dichttimmeren met behulp van één enkele wetgeving maar in alle redelijkheid en haalbaarheid kijken waar onze klanten / medemensen en wij zelf het meest bij gediend zijn. Want daar komen we allemaal verder mee.
Roos Timmermans is productmanager bij UNIT4. In die hoedanigheid is zij betrokken bij de ontwikkeling van accountancysoftware waar op basis van wet- en regelgeving diverse persoonsgegevens verwerkt worden.
Savannah Snellenburg zegt
Ik ben het met de kern eens. Alle partijen zullen hun verantwoordelijkheden moeten nemen. Opvallend genoeg waren het juist de softwareleveranciers die begonnen met de verwerkersovereenkomsten op te nemen in hun algemene voorwaarden en deze dwingend op te leggen aan hun klanten. ‘Take it of leave it’ leek het motto te zijn. En in deze voorwaarden verleggen de softwareleveranciers toch wel erg vaak de volledige verantwoordelijkheid bij de gebruiker. En overleg hierover is niet tot nauwelijks mogelijk.
Je kunt natuurlijk de discussie voeren of de verwerkersovereenkomst via de algemene voorwaarden afgesloten kan worden, maar dat terzijde. als je duizenden klanten hebt begrijp ik dit heel goed. Maar er worden nu, onder het mom van de AVG, veel meer zaken (eenzijdig) geregeld dan de AVG vraagt, als het gaat om aansprakelijkheden. En daar moeten we wel een beetje vanaf, wil het onderwerp niet alleen op papier haalbaar blijven, maar ook in de praktijk.