50 TINTEN PRIVACY - Van As Advocaten

Het zal u in de voorbije maanden niet ontgaan zijn. Door velen bestempeld als de ‘privacywet’ heeft op 25 mei 2018 de Algemene Verordening Gegevensbeschernming (AVG of n het Engels: GDPR) haar intrede gedaan.

De eerste hobbel is genomen. Veel partijen hebben op of rondom 25 mei 2018 de documenten hebben vervaardigt die de AVG van hen vereist (of zijn daar druk mee doende). Toch zou ik hier een waarschuwend woord willen schrijven voor het koesteren van deze documenten als statisch bezit. Zo is er nog veel onduidelijk over de AVG. IN de voorbije periode zetten de eerste tonen zwart en wit op papier gezet, maar de komende jaren zal zich een fijnmazig pakket aan nuances gaan ontwikkelen. Hieronder wat voorbeelden van facetten die nog niet duidelijk zijn. Vele (verwerkers)overeenkomsten bevatten bepalingen op dit punt waarvan het maar zeer de vraag is of die de juridische toets van de Autoriteit gaan ontstaan. De praktijk zal aanzienlijk weerbarstiger blijken.

Machtsongelijkheid

Wat de (Europese) wetgever over het hoofd lijkt te hebben gezien is de (economische) machtsongelijkheid tussen partijen. Denkt u aan een grote kapitaalkrachtige onderneming die met een standaard verwerkersovereenkomst werkt en die eenzijdig aan haar klanten, die nota bene verwerkingsverantwoordelijk zijn en daar mee het doel en de middelen van de gegevensverwerking zouden moeten bepalen. Het initiatief en de machtspositie ligt in dat geval niet bij de Verwerkingsverantwoordelijke, waarvan de AVG wel uitgaat, maar bij de verwerker. Die ongelijkheid kan ook bestaan uit een kennisachterstand.

Denkt u eens aan astronomische boetebepalingen die soms in verwerkersovereenkomsten staan opgenomen of juist het spiegelbeeld, aansprakelijkheidsbeperkingen, waardoor de eerdere contractuele relatie volledig verschuift. Zo kan je in de eigenlijke overeenkomst een aansprakelijkheid hebben opgenomen en de economisch machtiger partij de andere partij dwingend akkoord te gaan met een aanzienlijke aansprakelijkheidsbeperking.

Ons advies zou zijn dat iedere verwerkingsverantwoordelijke zelf ook een verwerkersovereenkomst heeft en die voorlegt aan de contractuele tegenpartij en zeker niet zonder meer akkoord te gaan met boetes en aansprakelijkheidsbeperkingen.

De AVG heeft zo het (onbedoelde en ongewenste effect) dat economische machtsposities worden herverdeeld terwijl het om de privacy van betrokkenen zou moeten gaan.

Autoriteit Persoonsgegevens – boetes

Nog los van de vraag of de Autoriteit voldoende mankracht heeft om alle bedrijven te controleren, rijst dan de vraag naar de boetes. U zult in de voorbije maanden doodgegooid zijn met partijen die doen voorkomen dat u direct de hoogste boete van € 20.000.000,00 opgelegd zult krijgen. Het is niet de stijl van ons kantoor om te grossieren in angst om zo werk te verkrijgen.

Naast deze kritische noot, is het echter ook erg onduidelijk hoe de verschillende sancties zich tot elkaar verhouden. We weten dat ze nu in artikel 58 en 83 AVG staan. De Autoriteit heeft aangekondigd te zullen komen met duidelijke beleid omtrent deze boetes, maar veel verder dan het benoemen van de uitgangspunten is het tot dusverre niet gekomen (zie: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp253_nl.pdf).

Toch gek dat je vaststelt dat je de naleving van de AVG belangrijk vindt, maar een duidelijk sanctiebeleid ontbreekt. Voorlopig zal er nog veel onduidelijkheid blijven bestaan over de exacte hoogte van de boetes en zal er de nodige discussie worden gevoerd om deze boetes van de AP gematigd te krijgen.

Voorbeelden uit de praktijk

Een voorbeeld uit de praktijk waaruit blijkt dat het allemaal nog niet zo eenvoudig ligt. Stelt u zich voor: een werkgever heeft rechtsgeldig cameratoezicht in het bedrijf. Bij een bedrijfsfeest loopt het uit de hand en is zichtbaar op de beelden dat een vrouwelijke medewerker, Anastacia, wordt aangerand door een (mannelijke) collega, Christian. De AVG is op zichzelf duidelijk over de rechten van betrokkenen? Maar wat als die rechten onderling botsen. Dat regelt de AVG niet.

En wie is er de dupe van deze onduidelijkheid. Wat nu als Anastacia eist van de werkgever dat de beelden worden vernietigd omdat zij er – volkomen begrijpelijk – niet op zit te wachten dat deze beelden een eigen leven gaan leiden. De werkgever (verwerkingsverantwoordelijke) wil de beelden echter behouden omdat zij Christian ontslagen heeft op staande voet wegens de aanranding. De AVG biedt de mogelijkheid persoonsgegevens te bewaren voor de duur van een procedure. De AVG bestraft echter het schenden van de rechten van betrokkenen het zwaarste. Het bewaren van dit beeldmateriaal zonder toestemming van Anastacia is zonder meer een schending van de rechten van betrokkenen. Het is in dit geval maar hopen dat de partijen daaruit komen want de AVG biedt geen soelaas.

Ook de situatie dat er twee verwerkingsverantwoordelijken zijn met ieder een eigen (tegenstrijdig) belang, regelt de AVG niet. Wat als de ene partij uiterst prudent omgaat met persoonsgegevens en de andere partij deze commercieel verkoopt. Kan de betrokken dan ook de eerste partij aanspreken. De AVG regelt die situatie vrijwel niet. Partijen moeten het dan hebben van hun gezamenlijke overeenkomst, die punt lang niet duidelijk regelt.

Bewaartermijnen

Hoe specifiek moeten bewaartermijnen in een privacystatement zijn als het om bewaartermijnen gaat. In veel statements staat nu dat de bewaartermijn in overeenstemming is met wet en regelgeving. Maar wat zegt de AVG over bewaartermijnen. Zij bevat helemaal geen duidelijke catalogus van bewaartermijnen. Is het dan wel gerechtvaardigd om partijen te beboeten als zij zich wel aan de regels willen houden, maar de regels niet of nauwelijks houvast bieden.

Schiet de AVG door?

Het lijkt er hier en daar wel op. Dat zit hem in de onduidelijkheid, maar ook in de (te?) vergaande regelgeving. Wat te denken van de school of het kinderfeest. Ouders, trots als zij zijn op de prestaties van hun kroost, maken enthousiast foto’s. Nog voordat het goed en wel duidelijk is, staan de foto’s op Facebook en één van de ouders stelt jegens de school (of de ouders die het kinderpartijtje organiseren) dat zij geen toestemming hebben gegeven en beklagen zich bij de Autoriteit? Terecht of overtrokken? Dan maar vooraf waarschuwen dat het niet mag. Maar betekent het dat ouders voortaan alleen nog een foto mogen maken van hun eigen kind en van anderen alleen na uitdrukkelijke toestemming?

Kreeg u ze op 25 mei 2018 ook? Talloze mails met daarop het verzoek de toestemming te verversen om de nieuwsbrief te verkrijgen. Rondvraag leert dat vrijwel iedereen, vriend en vijand van de AVG, die dag deze mails heeft verwijderd omdat ze het belang er niet van inzagen. Echt duidelijk is de AVG niet over gegevens die al verkregen zijn onder de richtlijn persoonsgegevens (in Nederland uitgewerkt in de Wet Bescherming Persoonsgegevens). Moet je al deze gegevens weggooien?

En een laatste mooi voorbeeld kan worden gevonden in het volgende. Artikel 28 AVG bepaalt nu dat voor het inschakelen van een subverwerker steeds toestemming van de Verwerkingsverantwoordelijke nodig is. Ongeacht de aard van de gegevens die worden verwerkt. Het is maar de vraag of dit artikel een Verwerkingsverantwoordelijke of een betrokkene meer brengt als de Verwerker voor iedere subverwerker een brief stuurt met het verzoek om toestemming deze subverwerker in te schakelen. Zo kunt u denken aan de webbeheerder die een nieuw script toevoegt aan de website en daarmee mogelijk ook persoonsgegevens verwerkt. Zit iedereeen erop te wachten dat voor dergelijke kleine werkzaamheden een heel systeem van toestemming opgetuigd wordt.

Slot

Ik geef toe, het zijn niet helemaal 50 tinten, maar de AVG gaat ons de komende jaren op allerlei terreinen meer bezig houden. Ik kan alleen hardop mijn gedachte uitspreken dat ik hoop dat dit zal leiden tot (meer) evenwichtige) regelgeving.

Twan Kersten, advocaat

Expertise