AVG
Juridisch10 maart, 2021

Drie jaar na de inwerkingtreding van de AVG, waar staan we nu? In gesprek met privacy en IT-jurist Marie-José Bonthuis

Drie jaar na de inwerkingtreding van de AVG, waar staan we nu? In gesprek met privacy en IT-jurist Marie-José Bonthuis

In mei 2018 trad de Algemene verordening gegevensbescherming (AVG) in werking. Wij wilden weten wat we over gegevensbescherming geleerd hebben in de afgelopen drie jaar en waar we nu staan. Daarom interviewden wij privacy en IT-jurist Marie-José Bonthuis. Met haar spraken we over de knelpunten van de AVG en over de mogelijkheden voor juridische professionals om hun cliënten beter te begeleiden bij het naleven van de AVG.

Marie-José Bonthuis is eigenaar van Privacy1. Sinds 2005 begeleiden zij organisaties in de zorg, het onderwijs en de overheid bij het implementeren van privacyregelgeving. Daarnaast is Marie-José promovenda aan de Rijksuniversiteit Groningen. Zij doet onderzoek naar de toepasselijkheid van de AVG in samenwerkingsverbanden zoals het sociaal domein en de landelijke uitwisseling van medische gegevens. Marie-Jose Bonthuis

 

De AVG trad in 2018 in werking. Waarom werd de AVG ingevoerd en wat waren de grootste veranderingen ten opzichte van de eerdere wetgeving? 

“Er kan op technologisch gebied steeds meer. Sinds begin 2000 is er een enorme toeloop op het gebruik van het internet en inmiddels heeft een groot deel van de bevolking een smartphone. Dit betekent dat er veel data wordt verzameld en daarom was het nodig om een uniform kader te krijgen. Voor 2018 gold er in iedere lidstaat een eigen variant van de toen geldende richtlijn, inmiddels is er een verordening voor de hele Europese Unie.

Een van de grootste veranderingen die de AVG met zich meebrengt zijn de hogere boetes. Er wordt vaak gedacht dat het juridisch kader strenger is geworden. Dat is niet zo, het lijkt zo vanwege de hoge boetes. Een andere grote verandering is dat veel organisaties een Functionaris voor Gegevensbescherming moeten aanstellen, eerder was dat een vrijwillige keuze.”

Wat zijn de doelen van de AVG en worden die inmiddels behaald?

“De AVG heeft twee belangrijke doelen. Over één van die doelen hebben we het vaak, dat is het beschermen van gegevens van burgers. Het andere doel van de AVG wordt vaak vergeten. Dat is het kunnen garanderen van een vrij verkeer van data binnen de Europese Unie. Door je te houden aan de regels van de AVG creëer je een speelveld waarin je enerzijds de belangen van de burgers beschermt en je anderzijds de voorwaarden geeft om de gegevens te gebruiken binnen de Europese Unie.

Ik moet de eerste organisatie die zich 100% aan de regels houdt nog tegenkomen.

Volgens mij worden de doelstellingen nog niet behaald. De data stroomt vrij door de Europese Unie maar het is de vraag of dat allemaal volgens de regels gaat. Ik durf te zeggen dat lang niet iedere organisatie zich 100% aan de regels houdt, ik moet de eerste in ieder geval nog tegenkomen.

Dat kan komen door de vele misverstanden en het feit dat er te weinig professionals zijn die verstand hebben van de regels. Toen de AVG in werking trad werd het aanstellen van een Functionaris voor Gegevensbescherming verplicht. In 2018 waren er te weinig goede privacy professionals en inmiddels is de vraag daarnaar nog steeds groot. Het is de verantwoordelijkheid van de overheid en organisaties om te investeren in privacy professionals, er zijn voldoende goede basisopleidingen.

Wat ik ook merk is dat de overheid incidentenpolitiek bedrijft. Op het moment dat na een incident met ernstige gevolgen waarbij partijen van elkaar te weinig data denken te hebben, er vaak een wet wordt gemaakt zodat organisaties meer gegevens kunnen delen. Maar vaak is het uitwisselen van meer gegevens niet altijd nodig. Je kunt volgens mij veel beter investeren in een goede infrastructuur met betere gegevens dan in een infrastructuur waar veel meer gegevens overheen gaan.”

De AVG is er nu bijna drie jaar en je ziet dat bijna iedere organisatie in Nederland ermee bezig is. Wat zijn volgens jou de knelpunten in de AVG, waar lopen bedrijven tegenaan?

“Er bestaan veel misvattingen over de AVG. De meeste mensen die uitspraken over de AVG doen hebben de wet niet gelezen. Natuurlijk begrijp ik dat je de wet niet zomaar gaat lezen, maar de uitspraken laten wel zien dat het kennisniveau niet al te hoog is.

Een ander knelpunt van de AVG komt naar voren als partijen gaan samenwerken. Er staan in de AVG veel regels voor een organisatie, bijvoorbeeld een gemeente of een ziekenhuis. Maar als het ziekenhuis gaat samenwerken met een gemeente, die ook eigen wetgeving heeft, dan is het aantal regels dat bij zo’n samenwerking past beperkt. Er zijn op dit moment twee wetten in voorbereiding die een grondslag voor deze samenwerkingen proberen te maken. Daar is kritiek op, want het gevaar is dat je te veel gegevens gaat uitwisselen en dan komt de vrijheid van de burgers in het gedrang. Ik doe onderzoek naar de manier waarop de AVG past in samenwerkingsverbanden als het sociaal domein en de landelijke uitwisseling van medische gegevens. We proberen, met een theorie uit de informatiekunde, een kader te maken voor die samenwerkingsverbanden.”

Mensen hebben het beeld dat er vanwege de AVG vooral heel veel niet mag. Klopt dat?

“De AVG is een wet die tussen de oren van mensen moet komen, veel meer nog dan ik in de laatste jaren hebt gezien. Hier ligt voor privacy professionals een kans: ga in oplossingen denken. Hoe eerder je bij nieuwe projecten betrokken wordt, hoe beter dat is. Dat kan de organisatie en de privacy professional aan het einde van een project veel gedoe schelen. De wet biedt allerlei mogelijkheden, richt de processen daarop in. Dan hoef je niet achteraf allerlei dingen aan te passen.

Ik noem het legal hacking, het zoeken naar wat er wel kan. De AVG biedt zoveel mogelijkheden.

Je hoort soms dat medische gegevens worden gedeeld in een WhatsApp-groepschat. Dat soort systemen worden op deze manier gebruikt omdat medewerkers een bepaalde behoefte hebben. Neem als voorbeeld het UMC Groningen, dit is een heel groot ziekenhuis. Als je van de ene naar de andere kant van het gebouw wandelt ben je twintig minuten onderweg. Een foto laten beoordelen door een collega gaat daarom sneller via de chat. Ik raad privacy professionals aan om dat soort behoeften serieus te nemen. WhatsApp gebruiken om foto’s van patiënten te beoordelen dat kan vanwege allerlei issues niet, maar wat je wel kan doen is op zoek gaan naar een veilig (Europees) alternatief zodat zorgverleners foto’s wel kunnen delen via een chat. Beweeg mee met de organisatie, je hoeft niet overal op de rem te trappen. Stel je steeds de vraag: waarom wil een klant dit en hoe vullen we die behoefte op een veilige manier in?”

Als je aan de AVG denkt, dan denk je aan hoge boetes. Hoe kan je als privacy professional bedrijven helpen om boetes te voorkomen?

“De hoge boetes die worden uitgedeeld, soms tot wel een paar procent van de wereldwijde omzet van een organisatie, zorgen ervoor dat organisaties de regels willen volgen. Als je boetes wilt voorkomen dan is het voor organisaties van belang om in een vroeg stadium privacy professionals te betrekken in het proces. Stel jezelf de vragen: wat gaan we doen en hoe gaan we het doen? Kom je er niet uit, betrek dan de Autoriteit Persoonsgegevens erbij. Je laat daarmee zien dat je welwillend bent.

De mindset moet echt nog veranderen, ook bij de privacy professional. Ga samen met de organisatie op zoek naar wat er mogelijk is, in plaats van het richten van je aandacht op wat er niet mag.”

Welke adviezen wil jij meegeven aan juridische professionals die werken met de AVG?

“Ik zie privacy professionals soms in de verkeerde hoek schieten en dat komt omdat ze niet goed weten wat de bedoeling van de AVG is. Het is een lastige wet met veel open normen. Daarnaast gelden er voor bepaalde sectoren ook nog andere regels, denk aan het beroepsgeheim bij artsen.

Als je organisaties goed wilt adviseren moet je de wetteksten op de juiste manier interpreteren en je moet de jurisprudentie goed kennen. Besef bij het interpreteren dat het gaat om de context. De AVG is niet zwart-wit, er is geen lijst waarop staat wat je wel of niet mag doen. De context hangt af van de organisatie. Zo moet je in een ziekenhuis veel strikter omgaan met sommige normen dan bij een marketingbureau. Deze organisaties hebben andere doelstellingen, commercieel tegen maatschappelijk, en daarnaast speelt de mate van de gevoeligheid van de data speelt ook een rol.

Mijn voornaamste advies aan juridische professionals is daarom om je te richten op één of twee sectoren waarin je adviseert. Leer de markt kennen, ken de regels en weet wat de context is.”

Wil je meer weten over de misverstanden van de AVG? Marie-José schreef hierover het boek ‘50 misverstanden over de AVG’.

Collecties Advocatuur
Alle relevante publicaties gebundeld per rechtsgebied.