Herinnert u zich nog het verhaal van een vrouw in Amerika die een magnetronbedrijf aanklaagt, omdat haar kat niet tegen het drogen in de magnetron bestand is? Aan dat verhaal doet mij de drukte rondom de AVG denken. Waar is de eigen verantwoordelijkheid in dit verhaal? Mag je niet uitgaan van ‘boerenverstand’?
Begrijp me niet verkeerd, onze privacy moet gewaarborgd zijn en blijven. En het is ook goed dat we nu weer eens alles tegen het licht aanhouden, maar we moeten er niet in doorslaan. Het doet mij denken aan tegengestelde belangen, zoals een keukenvloer in een professionele keuken. Volgens de Arbowet moet de vloer geribbeld zijn, zodat medewerkers niet uitglijden en zich verwonden. Volgens de hygiënevoorschriften moet diezelfde vloer glad zijn. Anders kun je de vloer en dus de keuken niet schoon maken en houden. Dat kan namelijk weer gezondheidsklachten bij de gasten veroorzaken. Wat vind je het belangrijkste? Veiligheid van de medewerkers of de gezondheid van je klanten/gasten? Doorslaan in het ene, heeft gevolgen voor het andere.
Persoonsgegevens verstrekken en verzamelen
Weer terug naar de AVG. Volgens de Wet bescherming persoonsgegevens (Wbp) is een persoonsgegeven elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat zijn de voor de hand liggende gegevens:
- Voornamen
- Achternaam
- Geslacht
- Geboortedatum
- Geboorteplaats
- Straatnaam
- Postcode
- Woonplaats
- Telefoonnummer
- Burgerservicenummer
- E-mailadres
Bijzondere persoonsgegevens
En dan zijn er ook nog de bijzondere persoonsgegevens. Dit zijn gevoelige gegevens die door de wetgever extra beschermd zijn:
- Ras
- Godsdienst of levensovertuiging
- Politieke voorkeur
- Seksuele leven
- Lidmaatschap vakbond
- Gezondheid
Als organisatie mag je momenteel al persoonsgegevens verstrekken of verzamelen. Dat moet dan gebaseerd zijn op een van de zes grondslagen uit artikel 8 van de Wbp:
- Toestemming van de gebruiker
- Een overeenkomst
- Wettelijke verplichtingen
- Vitale belangen
- Algemeen belang
- Gerechtvaardigd belang.
Dit lijken mij voldoende mogelijkheden om huidige praktijken onder te rangschikken, of niet?
Meer rechten
Waar zit dan nu het probleem, waarom is er zoveel commotie? Wellicht zit het probleem meer op het vlak van het uitvoeren van controle? Adviesbureaus ploppen als paddenstoelen uit de grond en vinden gretig gehoor in hun adviestaak doordat men zich laat leiden door angst voor represailles. Bedrijven die zich niet aan de nieuwe privacywetgeving houden, riskeren namelijk een maximale boete van 20 miljoen euro of 4% van de wereldwijde omzet. Van dergelijke bedragen zou toch iedereen schrikken en wellicht wakker liggen?
In de AVG krijgen de mensen waarvan gegevens worden verwerkt en beschermd meer rechten:
- Recht om in te zien
- Recht om te wijzigen
- Recht om vergeten te worden,
- Recht om gegevens over te dragen
- Recht op informatie
Heisa AVG
Met al die heisa rondom de AVG ga je bijna denken dat op dit moment iedereen onverantwoord met persoonsgegevens omgaat. Maar software moet al decennia lang veilig en betrouwbaar zijn. En medewerkers van een accountantskantoor moeten een geheimhoudingsverklaring ondertekenen. Is dat systeem feilloos? Nee, want wij zijn en blijven mensen die, soms onbedoeld, fouten maken. Zoals een kat in de magnetron stoppen (wat trouwens een broodjeaapverhaal blijkt te zijn). Als we ons ‘boerenverstand’ blijven gebruiken, wordt de soep (lees: kat) niet zo heet gegeten als hij wordt opgediend (uit de magnetron komt).
Roos Timmermans is productmanager bij UNIT4. In die hoedanigheid is zij betrokken bij de ontwikkeling van accountancysoftware waar op basis van wet- en regelgeving diverse persoonsgegevens verwerkt worden.
———————————————————————————————————————————–
In mijn volgende blog ga ik in op de verantwoordelijkheid voor de AVG binnen organisaties. Wie vindt u de verantwoordelijke binnen uw organisatie?
ParaZiet zegt
In juni a.s. ga ik bij de Belastingdienst mijn recht om vergeten te worden inroepen. Dat scheelt me een pak geld.
Michel zegt
Helaas, de lokale wetgeving geeft de belastingdienst de vrijheid, zelfs de plicht om gegevens te bewaren gedurende de wettelijke bewaartermijn. En ook is het vergeetrecht niet van toepassing op de debiteurenadministratie van uw leverancier. Zelfs als deze ú liever kwijt dan rijk is, moet zij/hij toch nog zeven jaar van de inspecteur uw gegevens bewaren als u eenmaal wat gekocht hebt..
Maar even serieus: De nadruk komt in de AVG meer te liggen op: a) Slaat u niet meer op dan nodig? en b) kunt u laten zien dat u een fatsoenlijke inspanning doet om de gegevens te beschermen die u toevertrouwd zijn?
Op een rij zetten wat u allemaal van wie hebt en weet en met wie deelt (klanten, personeelsadministratie, arbodienst, websitebezoekers, enz, enz) kan een heel nuttige exercitie zijn. Ook om te zien wat voor risico’s u loopt.