“AVG is geen privacywet, maar een wet op stromende informatie.”
‘De privacyparadox’ bundelt veertien vraaggesprekken over obstakels en mogelijkheden van datadelen en – bescherming. Auteur Peter Olsthoorn sprak met wetenschappers, burgemeesters en politici, chefs van instanties en juristen. De rode draad: toepassing van de Algemene verordening gegevensbescherming (AVG) is te veel gebaseerd op angst voor overtreding. Deel twee van het verslag van de boekpresentatie: hoe voorkomen we dat de rem onnodig wordt ingetrapt?
Lees ook deel één van het verslag.
Pragmatisch omgaan met de AVG
Munish Ramlal, ombudsman van de metropoolregio Amsterdam, en Lieke Sievers, burgemeester van Volendam-Edam, lieten genoegzaam doorschemeren dat ambtenaren en bestuurders pragmatisch kunnen omgaan met de AVG. Dat moet nog cultuur worden. Privacyjurist Sergej Katus van advieskantoor Privacy Management partners (PMP) in Utrecht, partner van iBestuur in deze bijeenkomst, noemt als belangrijk initiatief Preventie met Gezag, een nationaal programma ter voorkoming en bestrijding van criminaliteit door jongeren.
Datadelen
De regering zet 80 miljoen in, en zo’n 50 gemeenten meldden zich met projecten voor de kwetsbare buurten. Bijvoorbeeld Rotterdam, dat 10 miljoen euro krijgt, brengt datadelen tot stand tussen organisaties voor Kinder- en Jeugdbescherming, OM, Reclassering, Rechtbank, RIEC, Veiligheidsalliantie en Nationaal Programma Rotterdam Zuid. Dat laatste heeft veel ervaring opgebouwd met (experimenteel) datadelen in het voorkomen en bestrijden van criminaliteit.
Katus: “Daar gaat de AVG bij helpen. Dit is geen privacywet. Het hele woord privacy kom je in de AVG niet eens tegen. Dit is de wet op verantwoord stromende informatie. Het gaat over de bescherming van personen, bij de verwerking van persoonsgegevens, en het vrije verkeer van data.”
‘Lik-me-vestje wet’
Dat is een paradox: de wet is verworden tot verbodsprogramma, maar zegt volgens Katus juist dat je persoonsgegevens “moet delen, maar in dienst van de mens. Die heeft recht op privacy, maar evenzeer op veiligheid. Dus 98 procent van de AVG is geen privacywet, maar 2 procent wel.”
De beroerde uitvoering van de AVG is mede te danken aan een beroerde uitvoeringswet (UAVG), door hoogleraar en advocaat Lokke Moerel ook wel een ‘ lik-me-vestje wet’ genoemd. Den Haag was buitengewoon slordig, Brussel krijgt de schuld, aldus Katus.
Luiheid
Theo Hooghiemstra, privacy-expert gespecialiseerd in de zorg, heeft op verzoek die UAVG tegen het licht gehouden. Hij kan de diskwalificatie slechts beamen en noemt luiheid als diepere oorzaak. Hooghiemstra vraagt het ministerie van VWS om de uitwerking van de European Health Data Space wel goed ter hand te nemen: “Verdomme, niet weer die fouten zoals bij de AVG. Pak nou je kans. Wees niet zo lui. Doe nou gewoon wat je moet doen,” luidde zijn hartenkreet aan het slot van deze memorabele bijeenkomst.
Hooghiemstra is fan van ‘gegevensbescherming-by-design’. Die test hij in de praktijk met het CBS, een zorgverzekeraar en een ziekenhuis: “Eerst denk je: dat kan en mag helemaal niet. Maar met privacy-by-design blijkt er toch een oplossing te vinden.”
Medische dossiers uitwisselen
Een pragmatische benadering, maar iets minder ingewikkeld, brachten huisartsen tot een gezamenlijke norm voor uitwisseling van medische dossiers voor avond- en weekenddiensten.
Echter, het positivisme van Hooghiemstra werd gesmoord door Eline van den Broek, die verhaalde van de barre praktijk van onwil en bezwaren, die ze ervaart in pogingen om gegevens voor medisch onderzoek te bemachtigen. De oorzaak volgens haar: “Een enorm gebrek aan kennis.”
Community van gelijkgestemden
Ze hoopt op een community van gelijkgestemden om dit probleem op te lossen: “Het begint met het opvoeden en het aanleren van wat gewoon de basis van de AVG behelst. Te vaak wordt – ook bij het CBS –onnodig op de rem getrapt, nog voor goed en wel duidelijk is wat we willen bereiken.”
Die community voor kennisuitwisseling over nuttige toepassing van de AVG is hard nodig, en iBestuur pakt de handschoen op. Werktitel: ‘het kan wél’.
Lees ook:
Ik ben heel blij met zo’n bijeenkomst. We moeten inderdaad af van de Kafkaiaanse angst voor de AVG. De huidige regels laten al heel veel ruimte, maar veel mensen weten dat nog niet. Het radicale standpunt “het mag niet van de AVG” staat nergens in de AVG. Er staat dat je toestemming moet hebben als je persoonsgegevens voor andere doelen wilt gebruiken dan het beoogde doel. Je hoeft dus geen toestemming te vragen aan de leden van de schaakvereniging om op de ledenlijst te staan, want dat valt binnen het beoogde gebruik. Je moet wel toestemming vragen als je de ledenlijst wilt doorsturen aan een schaakklokkenfabrikant om voor reclamedoeleinden te gebruiken. Maar voor wetenschappelijk onderzoek hoeft dat weer niet, maar dan moeten de wetenschappers in hun resultaten geen gegevens tonen die op de persoon herleidbaar zijn. En voor opsporingsdoeleinden bij justitie en politie gelden weer aparte regels; daar is de AVG sowieso niet van toepassing.
De eersten die de wet eens moeten gaan lezen, zijn zij die hem toepassen, dus iedereen die persoonsgegevens verwerkt en daarvoor verantwoordelijkheid draagt. Vervolgens iedereen die er een mening over heeft: eerst maar eens goed lezen wat er staat, en daarna pas een mening vormen. Dit soort bijeenkomsten dragen daaraan hopelijk bij.