Afgelopen weken vond de parlementaire behandeling plaats van de Uitvoeringswet Algemene Verordening Persoonsgegevens (Uitvoeringswet AVG). Komende maand mei gaat deze overal in Europa van kracht komen, zoals steeds meer mensen beseffen. Ik heb de parlementaire behandeling gevolgd en langs twee lijnen bestudeerd. De eerste lijn is de praktische lijn: hoe gaan we nu met die nieuwe verordening om? Conclusie: het belangrijkste is om een start te maken. De tweede lijn is meer fundamenteel. De AVG staat voor een omslag in het privacy denken: voor het eerst duwt een heel continent tegen de trend in dat steeds meer data onder controle van anderen dan jijzelf komen. Dat is indrukwekkend maar kan ook wringen.
Hoe druk moeten we ons maken?
Eerst de praktische kant. En dan kan het hele Kamerdebat over de invoering van AVG het beste worden samengevat als één groot pleidooi voor het ontzien van verenigingen, kerken en kleine bedrijven. Zoals Toorenburg (CDA) zei: “De Autoriteit Persoonsgevens (AP) moet niet alleen de bijl hanteren, maar ondersteunen, hulp verlenen.” Daarin was geen verschil van mening met de minister of met de partijen onderling. Dat afdwingen kon echter ook niet, zie hieronder. Kamer en kabinet kunnen AP alleen vriendelijk verzoeken niet te hard van stapel te gaan, want zij stelt haar eigen prioriteiten. De minister sprak daarbij de verwachting uit dat handhaving door de AP in eerste instantie gericht zal zijn op de grotere bedrijven en instellingen en in die situaties waarin er al een aanleiding is om te gaan handhaven; als ze dus willens en wetens in de fout gaan. De Kamer zelf nam een resolutie aan waarin werd uitgesproken: “… in de fase waarin nog veel vragen zijn over de regels, de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair behoort te richten op voorlichting en hulp bij de interpretatie en uitvoering van de regelgeving, onverlet haar handhavingstaak inzake bewuste schendingen.” (Resolutie Koopmans c.s. 34851-18 d.d. 8 maart 2018). Vervolgens wordt de regering verzocht deze motie onder de aandacht van de Autoriteit Persoonsgegevens te brengen.
Coulance als ze al op stoom zijn
Dus nu kunnen we achteroverleunen? De ‘bangmakerij’, zoals minister Dekker (VVD) het beschreef, achter ons laten? Los van het idee dat je nooit iets alleen uit angst moet doen, was dat toch niet de les die uit het debat kon worden getrokken. Die les start met het punt dat AP haar eigen handhavingsbeleid blijft maken. Meer dan een oproep heeft de Kamer niet gedaan en kan ze ook niet doen. En zeker als je naar verenigingen kijkt, is er al snel sprake van het gebruik van ‘bijzondere persoonsgegevens’ (gevoelig in medisch, etnisch, politiek e.d. opzicht). Daar zal toch extra aandacht naar uitgaan vanuit AP. Maar beter werd het in het begin van het debat zo verwoord door Buitenweg (GL) toen ze pleitte voor: “Coulance als bedrijven al op stoom zijn, maar de essentie moet niet op de lange baan worden geschoven”. Met andere woorden: begin in ieder geval en denk vooral goed na over wat je wilt met de bescherming van jou en andermans persoonsgegevens.
(Het debat even latend voor wat het is, lijkt mij dat so wie so een nuchter advies. De AVG gaat net als andere regelmonsters niet snel weg. De invoering ervan vergt gewoon tijd. Die tijd heb je nodig. Ik schrijf het niet zonder belang op*, maar ook uit eigen ervaring zeg ik: pak het aan. Ik behoor tot degenen die als het om papier gaat nu alles snel opruimt, maar digitaal alles, maar dan ook alles wil bewaren. Dat betekent concreet meer dan twintig jaren aan digitale bestanden in mijn bedrijfje. Ik dacht te weten wat ik aan persoonsgegevens heb. Wil ik al die (vervuilde) bestanden houden? Niet dus.)
Voor zover ik mij de AVG-problematiek nu eigen heb gemaakt, zie ik veel paralellen met trajecten in mijn vakgebied, kwaliteitszorg. Je moet er echt even doorheen, maar als je het goed en procesmatig aanpakt, heb je er voordeel van.
Vage elementen
Een andere invalshoek kwam naar boven toen ik het debat even liet bezinken. Omdat de invoering van de verordening een gegeven was, concentreerde het debat zich bovenal op de vage elementen in de AVG. Die zijn er genoeg. Hoe zit het nu precies met de functionaris gegevensverwerking? Wanneer moet je die hebben? Hoe voorkom je dat de bescherming van persoonsgegevens in de medische sector een onterecht schild wordt tegen kwaliteitscontrole? Waarom die verschillen in leeftijdsgrenzen? Hoe zit het precies met de kerken, met de toegang van journalisten?
Op al deze vragen kwam geen helder antwoord, domweg omdat de minister er niet over gaat. Het zijn vragen die in de (nabije) toekomst kunnen worden doorgespeeld naar AP, waar dan nader beleid kan worden gemaakt. Zelf nadenken, dat is het devies. Bijvoorbeeld over de vraag of en wanneer een functionaris gegevensbescherming in een kleine school moet worden ingesteld. Dat hangt niet af van de omvang van de school, maar van de hoeveelheid en aard van de data.
En wie goed luisterde, kreeg te horen dat deze onzekerheid structureel is bij de AVG. Deels komt dit doordat de verordening de uitkomst is van een paar jaar lang intensief onderhandelen over de elementen ervan en dan krijg je altijd zaken die pas na wat jaren praktijk duidelijk worden. Een diepere oorzaak is, dat tegenwoordig elke wet of verordening wel consequenties voor het gebruik van data kent. Het betekent dat elke vorm van nieuwe wetgeving op de een of andere manier kruist met de AVG en zo voor nieuwe vragen rond de afbakening zorgt. De AVG is nooit klaar en roept ook nieuwe wetgeving op (waaronder de Wet inlichtingen en veiligheidsdiensten, de Wiv, waarover we woensdag gaan stemmen in het kader van een referendum). Met andere woorden; je kan dus wel wachten tot er meer duidelijkheid is, maar die duidelijkheid zal nooit volledig zijn. Ondertussen ben je kwetsbaar – en niet alleen voor handhaving door AP.
Conflicten op continentaal niveau betekent klussen op lokaal niveau
Dit weekend was het weer raak. In alle grote kranten werd het verhaal gepubliceerd over de wijze waarop een campagne bureau – Cambridge Analytics, hier ook bekend van campagnes rond het Oekraïne referendum en Forum voor Democratie – de beschikking kreeg over miljoenen persoonsgegevens van Facebook. De gegevens werd naar alle waarschijnlijkheid zowel ingezet voor ‘microtargeting’ van kiezers als voor het zwartmaken van Hillary Clinton tijdens de laatste Amerikaanse presidentsverkiezing. Dat gebeurde via software die door een nog geen twintigjarige Australiër was gemaakt en werden beheerd, gebruikt en misbruikt via bedrijven die op alle continenten van de wereld actief zijn. Toen de AVG (in het Engels: GDPR) werd opgesteld, was dat al reden om de privacy beginselen niet langer op nationaal niveau te formuleren maar op Europees niveau en verhalen als dit maken duidelijk dat het nog steeds nodig is om hierover op bovennationaal niveau actie te nemen.
In het Kamerdebat werd wel duidelijk dat dit toch behoorlijk wringt. Van der Staaij (SGP) zei, tegelijk boos, teleurgesteld en machteloos kijkend, “Zelden zo’n wangedrocht gelezen!” Daarna zei het staatsrechtelijk geweten van de Tweede Kamer: “De rechtszekerheid is het slachtoffer van alle compromissen op Europees niveau.” Dat deed Kathelijne Buitenweg van Groen Links naar de interruptiemicrofoon komen om de Europese Unie te verdedigen, omdat volgens haar privacy alleen nog op dat niveau te regelen valt. Beiden hebben dus gelijk. Juridisch mag de nieuwe Autoriteit een soort Zwitserse gatenkaas gaan handhaven. Dat is nauwelijks uit te leggen aan al die mensen, bedrijven en instellingen die er een smak werk bijkrijgen zonder voldoende helderheid. Tegelijk is het ook waar dat er echt misstanden zijn als het gaat om gegevensbescherming en dat het tijd wordt om daar iets aan te doen. Welbeschouwd is het daarom heel bijzonder wat er in het kader van AVG gebeurt: voor het eerst wordt echt een dam opgeworpen tegen de willekeur waarmee met persoonsgegevens kan worden omgegaan: de burgers op een heel continent duwen terug. Er is geen ander voorbeeld van op de hele wereld. Ik weet niet hoe het afloopt en de prijs in termen van bureaucratie en rechtszekerheid is gevaarlijk hoog, maar als we het tijdig onder de knie weten te krijgen, gebeurt er wel iets dat van wezenlijk belang is voor de bescherming van onze persoonlijke levenssfeer, inclusief onze ‘data’.
Peter Noordhoek
* Peter Noordhoek is mede verbonden aan ‘Stichting AVG Verenigingen’, een initiatief dat sinds juni 2017 aan vooral (koepel)verenigingen en haar leden een laagdrempelige manier biedt om de nieuwe verordening onder de knie te krijgen.