Een projectleider en een advocaat, samen in gesprek over de AVG, waarin privacyrecht onderdeel is van hun dagelijkse praktijk.

Angela van der Burg (1975) is in 2015 haar onderneming Van der Burg Finance gestart met name als projectleider en/of implementatiemanager inzetbaar. Vanaf jan 2016 tot juni 2018 heeft Angela diverse projecten geleid binnen het programma Privacy van de Volksbank NV waaronder PIA’s, Privacy by design en het inrichten van de rechten van betrokkenen. Daarvoor was zij werkzaam als directeur Preferred Banking bij de ABNAMRO en heeft ze als integratiecoach gewerkt bij de integratie van ABNAMRO en Fortis.

Angela heeft in 2000 haar studie Nederlands Privaatrecht afgerond aan de Universiteit in Utrecht.

Barbara Goossens (1968) is advocaat, gespecialiseerd in het arbeidsrecht, waarbij zij met name werkgevers bijstaat. Daarnaast is Barbara gespecialiseerd in privacyrecht en adviseert zij relaties over de inrichting van hun organisaties en welke noodzakelijke maatregelen naar aanleiding van de AVG moeten worden genomen. Zo stelt zij voor relaties (intern) privacybeleid compliant aan de AVG op, alsook de bijbehorende protocollen en verwerkersovereenkomsten. Gezien de link naar het arbeidsrecht adviseert Barbara veel over HR gerelateerde vraagstukken, zoals screening van werknemers en sollicitanten, social mediabeleid, verzuimbeleid etc. Daarnaast geeft Barbara privacy awareness trainingen aan medewerkers binnen organisaties. Tot haar relaties behoren zowel commerciële als goede doelen organisaties en organisaties binnen de zorgsector.

Is de nieuwe privacywetgeving een noodzaak of gedrocht?

Angela:
Dat ligt er aan vanuit welk perspectief je het bekijkt. Er worden steeds meer persoonlijke gegevens verwerkt door allerlei bedrijven en overheden aangezien de omgeving steeds meer een dienstverlening op maat wenst of de bedrijven willen steeds meer producten/dienstverlening op maat leveren. Waar ligt de behoefte van de klant? Om dit te kunnen bepalen wordt het verzamelen en analyseren van data steeds belangrijker.

Ik vind het een goede zaak om op Europees niveau de privacy en specifiek de persoonsgegevens te waarborgen in plaats van alleen op nationaal niveau (oude Wet Bescherming Persoonsgegevens). Met de nieuwe privacywetgeving (AVG) hebben de betrokkenen meer rechten gekregen dan voorheen, denk hierbij o.a. aan het recht op beperking, recht van bezwaar en het recht op overdraagbaarheid van gegevens (Dataportabiliteit). Kortom voor degene wiens persoonsgegevens worden verwerkt is het een goede zaak en zeker een noodzaak want wie wil er nu dat zijn gegevens worden doorverkocht zonder dat hij daarmee heeft ingestemd, of er überhaupt bewust van is geweest.

Tja en ik kan me ook voorstellen dat het voor sommige organisaties een gedrocht is. Want waar begin je? Welke organisaties kunnen je helpen? Welke tools zijn er op de markt? Welke processen en applicaties moeten worden aangepast? Moet ik een FG aanstellen? Hoe interpreteer ik de wetgeving? Het is zo ongelooflijk veel… terwijl sommige rechten van betrokkene ook al geregeld moesten zijn onder de nationale wetgeving, denk bijvoorbeeld aan recht van inzage of de verplichting om een datalek te melden. De afgelopen maanden is de media-aandacht enorm toegenomen o.a. door het schandaal binnen Facebook (het verkopen van gegevens) en de al gepasseerde deadline van 25 mei 2018. De bank waar ik momenteel als projectleider a.i. werk is in ieder geval op tijd begonnen met een intensief Privacy Programma maar dan nog weet je pas of je het echt goed geïmplementeerd hebt als de eerste interpretaties helder zijn geworden. Denk bijvoorbeeld aan het verlengen van de termijn (maximaal twee maanden) i.p.v. een maand voor het afhandelen van een privacyverzoek. Wanneer is er sprake van veel verzoeken? Wanneer is er sprake van ingewikkelde verzoeken. Dat zijn allemaal vraagstukken die eerst geïnterpreteerd moeten worden door juristen.

Barbara:
Soms lijkt het volledig door te schieten. Ik noem maar een voorbeeld dat ik zelf mee maakte tijdens een introductieavond voor ouders van nieuwe brugklasleerlingen. Er werden foto’s getoond van de brugklaswerkweek maar leuk was dat niet: alle gezichten van de leerlingen waren verwijderd omdat anders voorafgaand aan alle ouders om toestemming moest worden gevraagd. De sjeu is er dan wel vanaf. Ik begrijp de ‘angst’ van de school, je hoeft er maar een ouder bij te hebben die amok maakt. Het geeft ook wel aan dat iedereen er toch mee bezig is maar ook hoe krampachtig er mee wordt omgegaan en in welke bochten men zich wringt vanwege de AVG. Je hebt het hier over het graag tonen van beelden door de school aan ouders binnen de school, dus een afgebakend publiek. Ook mocht ik pas bij een bezoek aan de orthodontist met een van mijn kinderen niet even mee kijken. Alle ouders moeten in de wachtkamer blijven met het oog op de privacy van andere patiënten. Op zulke momenten denk ik met Youp van ’t Hek “we zijn allemaal knettergek geworden!”.

Aan de andere kant brengt de AVG wel een stuk bewustwording mee: je kan je ogen er niet meer voor sluiten. Bedrijven moeten er wat mee en zullen op zorgvuldige wijze met persoonsgegevens om moeten gaan. Bedrijfsprocessen moeten daarom eerst in kaart worden gebracht, via welke kanalen krijgen wij welke persoonsgegevens binnen, waar gebruiken we die gegevens voor en is dat wel noodzakelijk voor dat doel? Dat wordt in ieder geval wel bereikt, weten wat er binnen je organisatie allemaal wordt verzameld, waarom en waar gaat het naartoe. Betrokkenen hebben meer rechten en kunnen hun gegevens inzien of zelfs laten verwijderen. In die zin is de wetgeving goed, maar veel verplichtingen ingevolge de AVG bestonden ook al toen de Wbp nog van kracht was. Maar het feit dat overtreding van de privacywetgeving met de komst van de AVG tot aanzienlijke boetes kan leiden, de AP kan rechtstreeks boetes tot maar liefst maximaal EUR 20 miljoen of 4% van de wereldwijde omzet opleggen, maakt wel dat er nu pas écht aandacht voor is.

Vergeet en onderschat ook niet de imagoschade die een schending van de regels of een opgelegde boete teweeg kan brengen. Dat kan je jaren, zo niet altijd, achtervolgen en richt zo niet nog meer schade aan.

Het is jammer dat nog veel zaken niet duidelijk zijn, er zijn nog de nodige grijze gebieden maar dat biedt aan de andere kant natuurlijk ook weer mogelijkheden. De e-Privacy Verordening bijvoorbeeld, met specifieke eisen met betrekking tot marketingkanalen zoals e-mail, telemarketing en cookies. Deze verordening zal pas in 2020 van kracht worden en de nodige impact hebben op onder andere advertising platformen. Het is zaak om nu goed te onderzoeken welke activiteiten binnen de organisatie door deze wetgeving zullen worden geraakt. Je kan, en moet, je hier nu dus wel op voorbereiden.

Wat wordt ervaren als het grootste struikelblok bij de implementatie van de AVG?

Angela:
Als je nu een bedrijf, product of dienstverlening begint kun je rekening houden met Privacy by design. Kortom in zo’n vroeg mogelijk stadium al rekening houden met privacy principes en indien van toepassing technische of organisatorische maatregelen nemen om privacy risico’s te voorkomen. Of te besluiten dat er zo veel privacy risico’s aan het product/dienstverlening kleven om het dan maar niet te doen.

Echter bestaande bedrijven, applicaties en processen moeten privacy proof worden gemaakt. Dat betekent dat er soms functionaliteiten gebouwd moeten worden in applicaties om überhaupt gegevens te kunnen wissen, indien de klant en/of betrokkene dat wenst. Of dat er functionaliteiten gebouwd moeten worden in applicaties om het recht op beperking van de persoonsgegevens te kunnen uitoefenen. Gegevens tijdelijk niet meer gebruiken in een organisatie die honderden bestaande applicaties hebben is wat je noemt een enorme uitdaging of wel een struikelblok. Hoever moet je gaan als organisatie of accepteer je op een gegeven moment het risico omdat de kosten van de implementatie niet meer proportioneel zijn. Leuke vraagstukken dus!!

Voor welke juridische privacyvraagstukken benaderen relaties jou Barbara?

Barbara:
Gezien mijn specialisatie als advocaat arbeidsrecht zien veel vragen op hoe om te gaan met privacy op de werkvloer. De privacywetgeving raakt aan zoveel, zo niet alle, aspecten van het arbeidsrecht.

Denk aan zieke werknemers, op het gebied van het arbeidsrecht altijd al bijzondere problematiek daar waar het gaat over loon, re-integratie, ontslag, transitievergoeding etc.

Maar ook op het gebied van privacy zijn er tal van aandachtspunten, want je begeeft je als werkgever al snel op het terrein van de bijzondere persoonsgegevens met weer een ander beschermingsniveau. Persoonsgegevens betreffende iemands gezondheid zijn immers bijzondere persoonsgegevens en verwerking hiervan is in beginsel verboden. Maar wat nu als ik toestemming heb van een werknemer om die gegevens te verwerken? Is dat wel een geldige wettelijke grondslag in de verhouding werkgever vs. werknemer? Is het immers wel mogelijk voor een werknemer om echt vrijwillig in te stemmen gezien de ongelijke verhouding, de afhankelijke positie van de werknemer?

Vragen dus zoals welke informatie mag ik vragen aan de zieke werknemer, wat mag ik wel en wat absoluut niet registreren. Hoe verhoud ik me tot de bedrijfsarts etc. Je kan daar flink mee de mist in gaan en een hoge boete riskeren en erger, flinke imagoschade.

Andere zaken die in de meeste organisaties spelen zijn hoe ga ik om met cameratoezicht, wat mag wel en niet en hoe, tracking & tracing, monitoring, alcohol- en drugsbeleid, ‘me too’ vragen en beleid op dit gebied, screening van medewerkers en sollicitanten op onder andere social media. En niet alleen wat mag ik wel en niet ten opzichte van een (potentiele) werknemer maar ook wat mag ik als referent zeggen over een ex-werknemer.

Welk Privacyrecht zou jij willen uitoefenen?
Bij welke organisatie en waarom?

Angela:
Ik zelf zou bij Spotify het recht op dataportabiliteit wel willen uitoefenen op het moment dat er een goede concurrent is waar ik naar toe zou willen overstappen. Op mijn huidige account staan zoveel leuke afspeellijsten die ik of samen met andere heb gemaakt en die mij herinneren aan de vakantietripjes met mijn hockeyteam, mijn 40- verjaardagsfeest. Zonde als die data verloren zou gaan.

Tot slot, hoe leuk zou het zijn als we samen een keer een klus zouden kunnen doen. Met humor privacy implementeren haha. Want Privacy implementeren is improviseren.

Is er nog iets dat door organisaties over het hoofd wordt gezien, een ondergeschoven kindje is?

Barbara:
Zeker, het intern privacybeleid en met name de privacy awareness van medewerkers.

Je kan nog zo’n mooi beleid hebben en protocollen hebben opgesteld en veronderstellen dat je daarmee de zaken op orde hebt en AVG proof bent, maar daarmee ben je er natuurlijk niet. Het staat en valt met de medewerkers binnen de organisatie die dagelijks die persoonsgegevens verwerken.

Zij moeten op de hoogte zijn van de rechten en verplichtingen en hoe in de praktijk met de AVG moet worden omgegaan. Dit moet je ook kunnen aantonen aan de AP en vloeit voort uit de rode lijn van de AVG, de accountability. Ik geef hier workshops over aan medewerkers en dit dient de werkgever te registreren in het verwerkingsregister, zodat hij kan aantonen dat hij aan zijn informatieplicht heeft voldaan.

Daarnaast wordt vaak niet echt nagedacht over de inrichting van de organisatie. Wie behandelt de verzoeken van betrokkenen, zoals bijvoorbeeld het recht van inzage, welke persoonsgegevens verstrek je of dien je te verstrekken en binnen welke termijn en is die termijn haalbaar voor ons en zo niet wat doen we dan.

Dat een en ander nogal verstrekkende (financiële) gevolgen kan hebben blijkt wel uit de zaak onlangs van een zakelijke bank in Nederland, die kort gezegd een klant geen/te laat inzage gaf in de verzochte persoonsgegevens en vervolgens werd geconfronteerd met een forse boete en veel negatieve publiciteit.

Auteurs

Barbara Goossens
Advocaat arbeidsrecht en privacyrecht
Angela Van Der Burg
Projectleider -implementatiemanager Van der Burg Finance

Rechtsgebied

Privacyrecht