Op 25 mei treedt de AVG in werking. Een al sinds de Wpr bestaande verplichting, die van transparantie, lijkt soms onderschat te worden. Want die is in ketens best lastig.
Bij de voorbereidingen voor de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei aanstaande zijn veel organisaties (terecht) druk bezig hun verwerkingenregisters op orde te krijgen, Privacy Impact Assessments (PIAs) uit te voeren en hun documentatie van hun privacywaarborgen op orde te krijgen. Want dat zijn de dingen die als ´nieuw´ worden ervaren als gevolg van de AVG. Een al sinds de Wet persoonsregistraties (Wpr) van 1989 bestaande verplichting, die van transparantie, lijkt soms onderschat te worden. Want die is in ketens best lastig.
De AVG schrijft voor dat als een verwerkingsverantwoordelijke gegevens van de betrokkene krijgt dat deze voldoende transparantie betracht over onder andere de verwerkingsdoeleinden, -duur, de doorgifte aan derden en de rechten van de betrokkenen. Daarbij kan veelal best volstaan worden met een notificatie op een website, zo blijkt uit de richtlijnen van de Europese privacytoezichthouders die op 13 april van dit jaar gepubliceerd zijn.
Maar in ketensamenwerkingen worden de gegevens vaak juist niet van de betrokkene verkregen, maar van ketenpartners. Dan geldt een veel actievere informatieplicht (artikel 14 AVG) voor de verwerkingsverantwoordelijken (waar er in ketens altijd meerdere van zijn), waarbij binnen een ‘redelijke termijn, doch uiterlijk binnen één maand’ de betrokkene geïnformeerd moet worden over de verwerking.
Nu voorziet de AVG wel in een uitzonderingssituatie, namelijk die van een wettelijk voorgeschreven verstrekking aan een ketenpartner, maar dat vereist wel dat in desbetreffende wetgeving aandacht is besteed aan de rechten van de betrokkenen. Voor wie bedenkt dat de AVG een continuering is van bestaande wetgeving, is het weinig verrassend dat hier al Europese jurisprudentie over bestaat, namelijk in de zaak Bara. Dit was een Roemeense zaak over fraudebestrijding bij zorgverzekeringen. Daarbij had koppeling van inkomensgegevens plaatsgevonden zonder mededeling aan de betrokkene. Het standpunt van de Roemeense staat was dat er sprake was van een wettelijke regeling over de uitwisseling en dat daarmee aan de vereisten van de voorganger van artikel 14 AVG, artikel 11 van Richtlijn 95/46/EC, was voldaan. Hier werd door het Hof van Justitie van de Europese Unie toch anders over geoordeeld. Belangrijk daarbij was dat het niet voorzienbaar was dat er inkomensgegevens gedeeld zouden worden met de Roemeense zorgverzekeraar én dat de koppeling plaatsvond op basis van een convenant tussen twee publieke lichamen (de zorgverzekeraar en de Roemeense fiscus).
Terug naar Nederland: er zijn genoeg van dit soort uitwisselingen in de publieke sector waarbij dit niet bij of krachtens wet geregeld is of dat er sprake is van een regeling waarin geen aanvullende waarborgen voor de betrokken zijn opgenomen. Dat maakt de uitwisseling als zodanig niet noodzakelijkerwijze onrechtmatig. Het brengt evenwel met zich mee dat de betrokkene geïnformeerd zal moeten worden door de ketenpartners, wat nu in de praktijk veelal niet gebeurt. Stof tot nadenken bij het AVG-klaar maken van organisaties, maar ook ketens. En ook huiswerk bij de realisatie van toekomstige ketenuitwisselingen. En een aandachtspunt voor het actualiseren van de wet- en regelgeving die hier betrekking op heeft. En het middel van de convenant voor ketenuitwisselingen is wellicht vanuit een AVG-perspectief onwenselijk.
Walter van Holst is adviseur bij PBLQ met een focus op gegevensbescherming, privacy, open standaarden en open source in de publieke sector.