Nieuwe privacyregels dreigen doel voorbij te schieten

Na vele jaren soebatten en een ongekend lobbygevecht heeft het Europees Parlement op 14 april 2016 de nieuwe Algemene Verordening Gegevensbescherming (AVG) aangenomen.

Wij voorzien dat de formele verplichtingen daarin zo veel werk vereisen van organisaties om hun ‘privacylandschap’ in kaart te brengen, dat zij mogelijk niet of nauwelijks aan de vormgeving van de werkelijke databescherming zullen toekomen.

De nieuwe regels voor heel Europa inclusief aanbieders van diensten hier die buiten de EU zijn gevestigd leiden tot een sterke toename van het aantal rechten voor burgers en verplichtingen voor organisaties. Niet-naleving kan worden bestraft met boetes die oplopen tot maar liefst 4 procent van de wereldwijde omzet.

Maar dient de extra administratieve lastendruk van deze Verordening daadwerkelijk de privacybescherming van de burger?

Regelzucht

De nieuwe privacyregels verplichten organisaties om burgers meer gedetailleerde informatie te geven over het gebruik van zijn persoonsgegevens. Ook moeten ze in detail bijhouden welke gegevens ze met welk doel en op welke juridische grondslag gebruiken. Datalekken moeten worden gemeld. En in sommige gevallen moet een ‘data protection impact assessment’ worden uitgevoerd.

Veel van de nieuwe verplichtingen zijn procedureel en formeel, of zelfs bureaucratisch van aard. Zo lijkt het alsof organisaties kunnen volstaan met geparafeerde afvinklijstjes en het creëren van een administratieve, papieren werkelijkheid. Je zit goed zolang je als organisatie op elk moment het overzicht hebt, en als je in staat bent om te laten zien wie er in je organisatie welke persoonsgegevens gebruikt, waarvoor en op welke wijze.

Die administratieve werkelijkheid levert op zichzelf natuurlijk geen effectieve privacybescherming op. Zoals het voeren van een boekhouding wel een noodzakelijke maar geen voldoende voorwaarde is voor een verantwoorde bedrijfsvoering, zo is een administratie van verwerkingen een eerste noodzakelijke stap om overzicht te krijgen in het gebruik van persoonsgegevens en de daarmee samenhangende privacyrisico’s.

De volgende stap is om aan de hand daarvan de privacybescherming beter in te richten. De Verordening geeft hiervoor een aantal beginselen, zoals ‘privacy-by-design’, ‘privacy-by-default’ en ‘dataminimalisatie’. Alle drie zijn ze gericht op het effectiever maken van de privacybescherming door vooraf na te denken over het gebruik van gegevens, en deze te compartimenteren, te versleutelen en het gebruik ervan te minimaliseren.

Praktijk zeer ongewis

Deze beginselen zijn weinig concreet en moeten zich dus in de praktijk gaan bewijzen. Of dat gaat gebeuren, hangt vooral af van de bereidheid van organisaties om privacybescherming serieus te nemen. Als organisaties niet voldoen aan de formele en procedurele verplichtingen, zal het voor een toezichthouder relatief eenvoudig zijn om vast te stellen of iedereen z’n ‘gegevensboekhouding’ wel op orde heeft.

Veel lastiger is het voor organisaties om daadwerkelijk vorm te geven aan beginselen als ‘privacy by design’, en voor toezichthouders om de toepassing ervan te handhaven. Deze stap van ‘gegevensboekhouding’ naar materiële privacybescherming vereist een proactieve benadering van de inrichting van systemen en processen: niet alleen achteraf in kaart brengen wat er al is, maar vooraf bepalen hoe de privacybescherming beter kan.

Hierin zien wij de belangrijkste ‘inhoudelijke’ bijdrage van de Verordening aan bescherming van de persoonlijke levenssfeer van de burger. Ook al erkennen we dat organisaties zicht moeten hebben op het gebruik van persoonsgegevens, toch achten we het risico levensgroot dat de focus op de formele verplichtingen de daadwerkelijk betere omgang met persoonsgegevens naar de achtergrond zal laten verdwijnen.

*) Mr. dr. Laurens Mommers is COO van PrivacyPerfect. Mr. dr. Gerrit-Jan Zwenne is partner bij Brinkhof en hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden. Zwenne is daarnaast lid van de Raad van Advies van PrivacyPerfect.