Column


IT-jurist Peter van Schelven over...

'Fout is fout': bloedarmoede van Wolfsen?

“We hebben nu nog geen boete opgelegd. Maar na mei gaat dat veel meer gebeuren, omdat we nu alleen een boete kunnen opleggen als er sprake is van opzet. Dat gaat dan vervallen. Dus, wat fout is, dat is fout.” Met deze dreigende woorden sprak Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, in het tv-programma Nieuwsuur van 30 november jongstleden over de Algemene Verordening Gegevensbescherming (AVG).

De privacytoezichthouder in ons land toont weinig empathie voor bedrijven en organisaties die worstelen met de implementatie van de zeer complexe nieuwe Europese privacyregels. Het interview met Wolfsen laat zien hoe de Nederlandse toezichthouder in de wedstrijd staat. Dreigen met boetes en het hanteren van de zweep zijn, zo lijkt het, fraaiere instrumenten dan het verleiden van alle relevante spelers in het land om de nieuwe privacywetgeving omgezet te krijgen in zinnige en uitvoerbare praktijkmaatregelen. Het kenmerkt de zwaar doorgeslagen juridisering.

Politieagent
Wolfsen lijkt uit het oog te verliezen dat zijn opstelling niet bijdraagt aan een breed vertrouwen in de toezichthouder. De Autoriteit Persoonsgegevens wil kennelijk meer politieagentje in privacyland spelen dan een verbindende rol van betekenis in de Nederlandse samenleving vervullen. En dat is een trieste constatering voor iedereen die – zoals ik en met mij velen - het belang van een zorgvuldige omgang met persoonsgegevens hoog in het vaandel heeft staan. De Autoriteit Persoonsgegevens heeft primair een juridisch perspectief op de werkelijkheid en dat siert haar niet. Het getuigt van een vorm van bloedarmoede die alleen kan worden opgelost met een stevige opleiding tot ‘verbindend leiderschap’. Het zaaien van angst, onrust en onzekerheid, zoals de Autoriteit Persoonsgegevens doet, is voor de bescherming van persoonsgegevens eerder een kwaad dan een deugd.

Kan het dan ook anders? Natuurlijk! Kijk eens naar de Belgische toezichthouder, de CBPL, die onlangs een model voor een verwerkingenregister in Excel-formaat op haar site publiceerde. De AVG verplicht veel bedrijven en organisaties tot het aanleggen van een register van hun verwerkingen van persoonsgegevens. Voor menigeen is het maken van zo’n register een eerste stap in de reeks van acties om AVG-compliant te worden. Praat ik in ons land met bedrijven, dan hebben ze dikwijls geen idee wat er in zo’n register moet staan. Anders dan haar Belgische evenknie laat de Nederlandse toezichthouder bedrijven en organisaties op dit vlak stevig in de kou staan.

Privacy Impact Assessment
Nog een voorbeeldje: de AVG verplicht in bepaalde gevallen tot het uitvoeren van een Privacy Impact Assessment (PIA) voorafgaande aan het verwerken van persoonsgegevens. Met name als er sprake is van een hoog risico voor de privacy van de burger moet een PIA worden uitgevoerd. Maar hoe doe je dat? De Autoriteit Persoonsgegevens volstaat met een simpele verwijzing naar twee stukken waarin loodzware PIA's staan beschreven: het Norea-model en het rijksmodel voor een PIA.

Voor de meeste organisaties zijn die in het beton gegoten modellen eenvoudigweg te omvangrijk om te worden gebruikt. Daarentegen publiceerden de collega's van de Franse toezichthouder, de CNIL, onlangs een handige opensourcetool voor het uitvoeren van een PIA. Er is naast een Franse ook een Engelstalige versie beschikbaar. Mooie tool, die veel dure commerciële tools in de markt overbodig maakt. Zo faciliteer je nou de samenleving!

Los van deze twee willekeurige voorbeelden, moet ik zeggen dat ik er bepaald niet vrolijker van word als ik naar de opstelling van de Autoriteit Persoonsgegevens kijk. Ik ben de laatste in ons land die het grote belang van goed toezicht durf te ontkennen. Daarvoor zijn privacy en de zorgvuldige omgang met persoonsgegevens eenvoudigweg een te hoog goed. Echter, toezicht houden is een kunde, een vak, een professie. En dat impliceert dat er zware professionele eisen aan een toezichthouder gesteld mogen worden, onder meer op het vlak van de toezichtstijl.

Bij een puberaal, nog niet echt uitontwikkeld rechtsgebied als het privacyrecht past een stijl waarin het lerend vermogen van bedrijven en organisaties op de voorgrond dient te staan. Dat vereist primair vertrouwen, verbindend vermogen, coöperatie, steun en empathie. Het dreigen met boetes gaat uit van wantrouwen, repressie en het creëren van afstand.

Met de insteek van Wolfsen komen we weinig verder. Wie doet hem beseffen dat de voerman die naar de zweep moet grijpen het kennelijk niet lukt zijn paarden in bedwang te houden? Zullen we de politiek vragen of Wolfsen binnenkort eens een goede cursus paarden mennen mag volgen?


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over