De privacyjungle en het Paradijs

In onze samenleving wordt privacy in één adem genoemd met technologie en internet. Het verlangen naar een privéleven gaat alleen al veel verder terug in de tijd. Denk alleen al aan Edam en Eva die zich bedekten met vijgenbladeren in de ijdele poging om de schaamte voor hun lichamen weg te nemen.

 

Het is flauw om onze hedendaagse kijk op privacy alleen in verband te brengen met de Hof van Eden, maar verrassend genoeg bestaan er veel gelijkenissen tussen de kijk op privacy van toen en nu. De rode draad in het verhaal is dat iedereen iets te verbergen heeft, hoe omvangrijk of klein dan ook.

 

Dat het recht op een online-privéleven van groot belang is, is een feit. Waar eerder onze persoonlijke informatie als hard copy werd opgeslagen in archiefkasten, staat het nu verspreid over allerlei (virtuele) servers in de hele wereld. Ondertussen worden onze gegevens meer waard en vormen een goudmijn vanuit marketing oogpunt. Momenteel staan we aan de vooravond van de invoering van de Algemene Verordening Gegevensbescherming (AVG) in Europa. Beter bekend als de privacywet. De AVG brengt verplichtingen met zich mee waardoor onze persoonsgegevens beter worden beschermd en data minder gemakkelijk kan worden geoogst en gebruikt. De afgelopen maanden zijn de consultancy bedrijven, AVG-adviseurs en de stappenplannen dan ook als paddenstoelen uit de grond geschoten. Dit heeft gezorgd voor verontrusting, zeker met het oog op de hoge boetes die door de Autoriteit Persoonsgegevens (AP) kunnen worden opgelegd als men niet op tijd voldoet aan de AVG.

In de AVG-gekte wordt er nauwelijks stilgestaan bij het feit dat de Wet bescherming persoonsgegevens (Wbp) al ruim 17 jaar in Nederland geldt (de Wbp wordt ingetrokken na de invoering van de AVG) en dat de AP ook al onder de Wbp hoge boetes kon opleggen. Bedrijven, organisaties en instellingen die al aan de Wbp voldoen, hoeven dus niet heel veel extra stappen te ondernemen. Het echte probleem bij de invoering van de AVG is erin gelegen dat bijna geen enkele organisatie al voldeed aan de Wbp, laat staan aan de nieuwe regelgeving. De invoering van de AVG brengt in ieder geval een turning point met zich mee. Het belang van privacy wordt niet langer onderschat en bedrijven richten hun processen privacy-vriendelijker in. Ook ontstaat er meer begrip ten aanzien van wat persoonsgegevens precies inhouden en waarom een bedrijf deze persoonsgegevens precies heeft en wat het bedrijf ermee mag doen, maar ook wat vooral NIET. Deze laatste zin vormt in een notendop de kern van de AVG. Ik zet het nog kort op een rijtje:

 

• Er moet altijd een basis (grondslag) zijn om iets met persoonsgegevens te doen, deze te 'verwerken'. Voor de meeste bedrijven zijn die grondslagen de toestemming van de gebruiker, een wettelijke verplichting, het gerechtvaardigd (eigen) bedrijfsbelang of ter uitvoering van een overeenkomst;
• Ook moet er een doel zijn om de persoonsgegevens te verzamelen, welke op voorhand duidelijk dient te zijn. Daarbij is het belangrijk om de vraag te stellen of alle gegevens die worden verzameld ook echt noodzakelijk zijn voor dat doel. Daarmee is ook direct de vraag beantwoord wat er met de gegevens gebeurt en waarom;
• Persoonsgegevens dienen verder goed beveiligd te zijn, zowel technisch als organisatorisch;
• Tot slot is het belangrijk dat de persoon van wie het de gegevens betreft (na verzoek) inzicht kan krijgen in de persoonsgegevens, deze kan laten aanvullen, wijzigen en soms zelfs laten verwijderen.

Deze opsomming is niet allesomvattend. Natuurlijk zijn er meer rechten en verplichtingen, maar deze basisgedachte vormt wel de kern van de nieuwe privacywet (en overigens ook de oude!). Daarbij is interne- en externe communicatie belangrijk. Hiermee kan een goed privacy verhaal voor uw onderneming worden neergezet, zowel richting de doelgroep als richting de AP.

 

Terug naar Adam en Eva. De gereedschapskist om privacy te beschermen, is in de loop der jaren uitgegroeid van enkele vijgenbladeren tot een hoop (juridische) documenten, interne werkprotocollen, technische maatregelen en reguleringen. Het is niets om bevreesd voor te zijn. Begin bij het begin. Wel rap, want de datum van de invoering van de AVG nadert met rasse schreden.