Drie jaar na de inwerkingtreding van de AVG, waar staan we nu? In gesprek met privacy en IT-jurist Marie-José Bonthuis

Drie jaar na de inwerkingtreding van de AVG, waar staan we nu? In gesprek met privacy en IT-jurist Marie-José Bonthuis

In mei 2018 trad de Algemene verordening gegevensbescherming (AVG) in werking. Wij wilden weten wat we over gegevensbescherming geleerd hebben in de afgelopen drie jaar en waar we nu staan. Daarom interviewden wij privacy en IT-jurist Marie-José Bonthuis. Met haar spraken we over de knelpunten van de AVG en over de mogelijkheden voor juridische professionals om hun cliënten beter te begeleiden bij het naleven van de AVG.

Marie-José Bonthuis is eigenaar van Privacy1. Sinds 2005 begeleiden zij organisaties in de zorg, het onderwijs en de overheid bij het implementeren van privacyregelgeving. Daarnaast is Marie-José promovenda aan de Rijksuniversiteit Groningen. Zij doet onderzoek naar de toepasselijkheid van de AVG in samenwerkingsverbanden zoals het sociaal domein en de landelijke uitwisseling van medische gegevens.

De AVG trad in 2018 in werking. Waarom werd de AVG ingevoerd en wat waren de grootste veranderingen ten opzichte van de eerdere wetgeving? 

“Er kan op technologisch gebied steeds meer. Sinds begin 2000 is er een enorme toeloop op het gebruik van het internet en inmiddels heeft een groot deel van de bevolking een smartphone. Dit betekent dat er veel data wordt verzameld en daarom was het nodig om een uniform kader te krijgen. Voor 2018 gold er in iedere lidstaat een eigen variant van de toen geldende richtlijn, inmiddels is er een verordening voor de hele Europese Unie.

Een van de grootste veranderingen die de AVG met zich meebrengt zijn de hogere boetes. Er wordt vaak gedacht dat het juridisch kader strenger is geworden. Dat is niet zo, het lijkt zo vanwege de hoge boetes. Een andere grote verandering is dat veel organisaties een Functionaris voor Gegevensbescherming moeten aanstellen, eerder was dat een vrijwillige keuze.”

Wat zijn de doelen van de AVG en worden die inmiddels behaald?

“De AVG heeft twee belangrijke doelen. Over één van die doelen hebben we het vaak, dat is het beschermen van gegevens van burgers. Het andere doel van de AVG wordt vaak vergeten. Dat is het kunnen garanderen van een vrij verkeer van data binnen de Europese Unie. Door je te houden aan de regels van de AVG creëer je een speelveld waarin je enerzijds de belangen van de burgers beschermt en je anderzijds de voorwaarden geeft om de gegevens te gebruiken binnen de Europese Unie.

Volgens mij worden de doelstellingen nog niet behaald. De data stroomt vrij door de Europese Unie maar het is de vraag of dat allemaal volgens de regels gaat. Ik durf te zeggen dat lang niet iedere organisatie zich 100% aan de regels houdt, ik moet de eerste in ieder geval nog tegenkomen.

Dat kan komen door de vele misverstanden en het feit dat er te weinig professionals zijn die verstand hebben van de regels. Toen de AVG in werking trad werd het aanstellen van een Functionaris voor Gegevensbescherming verplicht. In 2018 waren er te weinig goede privacy professionals en inmiddels is de vraag daarnaar nog steeds groot. Het is de verantwoordelijkheid van de overheid en organisaties om te investeren in privacy professionals, er zijn voldoende goede basisopleidingen.

Wat ik ook merk is dat de overheid incidentenpolitiek bedrijft. Op het moment dat na een incident met ernstige gevolgen waarbij partijen van elkaar te weinig data denken te hebben, er vaak een wet wordt gemaakt zodat organisaties meer gegevens kunnen delen. Maar vaak is het uitwisselen van meer gegevens niet altijd nodig. Je kunt volgens mij veel beter investeren in een goede infrastructuur met betere gegevens dan in een infrastructuur waar veel meer gegevens overheen gaan.”

De AVG is er nu bijna drie jaar en je ziet dat bijna iedere organisatie in Nederland ermee bezig is. Wat zijn volgens jou de knelpunten in de AVG, waar lopen bedrijven tegenaan?

“Er bestaan veel misvattingen over de AVG. De meeste mensen die uitspraken over de AVG doen hebben de wet niet gelezen. Natuurlijk begrijp ik dat je de wet niet zomaar gaat lezen, maar de uitspraken laten wel zien dat het kennisniveau niet al te hoog is.

Een ander knelpunt van de AVG komt naar voren als partijen gaan samenwerken. Er staan in de AVG veel regels voor een organisatie, bijvoorbeeld een gemeente of een ziekenhuis. Maar als het ziekenhuis gaat samenwerken met een gemeente, die ook eigen wetgeving heeft, dan is het aantal regels dat bij zo’n samenwerking past beperkt. Er zijn op dit moment twee wetten in voorbereiding die een grondslag voor deze samenwerkingen proberen te maken. Daar is kritiek op, want het gevaar is dat je te veel gegevens gaat uitwisselen en dan komt de vrijheid van de burgers in het gedrang. Ik doe onderzoek naar de manier waarop de AVG past in samenwerkingsverbanden als het sociaal domein en de landelijke uitwisseling van medische gegevens. We proberen, met een theorie uit de informatiekunde, een kader te maken voor die samenwerkingsverbanden.”

Mensen hebben het beeld dat er vanwege de AVG vooral heel veel niet mag. Klopt dat?

“De AVG is een wet die tussen de oren van mensen moet komen, veel meer nog dan ik in de laatste jaren hebt gezien. Hier ligt voor privacy professionals een kans: ga in oplossingen denken. Hoe eerder je bij nieuwe projecten betrokken wordt, hoe beter dat is. Dat kan de organisatie en de privacy professional aan het einde van een project veel gedoe schelen. De wet biedt allerlei mogelijkheden, richt de processen daarop in. Dan hoef je niet achteraf allerlei dingen aan te passen.