10 aug De 4 grootste misverstanden over de AVG opgehelderd!
Tja, die AVG, sommigen zijn hem liever kwijt dan rijk. Niemand kan er meer omheen. De AVG geldt en wordt gehandhaafd door de Autoriteit Persoonsgegevens. Dat de AVG onverwachte problemen oplevert, heb ik inmiddels ondervonden. Wat bedoeld is om bescherming te bieden aan ons persoonlijke leven, lijkt een averechts effect te hebben.
Vanuit mijn werk als advocaat ben ik deze week meerdere keren in mijn praktijk geconfronteerd met wat ik zou willen noemen ‘de AVG-muur’. Geen enkele informatie meer delen omdat de AVG dat voorschrijft.
Problemen door de AVG
De probleem situaties:
- Een gemeente (nee, ik ga geen plaatsnamen noemen) wil geen documenten meer mailen over een nieuw bouwplan dat is aangevraagd. Als je wil weten wat er precies gebouwd gaat worden om te bepalen of je daartegen bezwaar wil maken omdat je ernaast woont, dan ben je van harte uitgenodigd om bij de afdeling Vergunningen langs te komen en dikke mappen vol documenten door te bladeren. Stukken kopiëren? Nee, mag niet vanwege de AVG. Hopelijk heb je een fotografisch geheugen.
- Een stichting nodigt meerdere professionals uit voor een themamiddag. Een oplettende collega alarmeert: mailen mag niet vanwege de AVG! Je moet eerst een ieder toestemming vragen en een verklaring laten tekenen.
- Bij een sociale zekerheidsinstantie vraag ik voor mijn cliënte de beslissing op over het wel of niet toekennen van een uitkering aan haar. De beslissing kan niet worden verzonden per mail of per post aan mij vanwege de AVG. Mijn cliënte zal het stuk zelf moeten opvragen via haar DigiD.
- Ik verzocht een arbodeskundige dienstverlening de rapportage over de arbeids(on)geschiktheid van mijn cliënte toe te sturen. Aan mij óf mijn cliënte zelf. Beide verzoeken werden geweigerd ‘vanwege een zorgvuldig beheer van dossiers’, oftewel de AVG-muur.
Dit is slechts een kleine greep uit de problemen waar ik tegenaan loop. De AVG vormt op dit moment voor mij meer een obstakel dan dat rechten worden gewaarborgd. Wellicht herkent u zich hier ook in. Op deze manier is het niet gek dat de AVG wordt gevoeld als last en dat de angst voor een boete door het handhavend orgaan de Autoriteit Persoonsgegevens toeneemt.
Berichtgeving als ‘AP start onderzoek naar naleving privacyregels door private sectoren’ draagt hier zeker aan bij. Is deze angst dan terecht? Nee , over de AVG bestaan veel misverstanden. Velen hebben de klok horen luiden, maar weten niet (meer) waar de klepel hangt. Ik zal kort de AVG toelichten om daarna de misverstanden op te lossen.
Waarom de AVG en wat doet de AVG?
De AVG ziet op de bescherming van persoonsgegevens. Dat zijn gegevens zoals naam, BSN-nr., telefoonnummer, (e-mail)adres, geslacht, gezondheid etc. Niemand wil dat dergelijke gegevens zonder reden met anderen worden gedeeld of op straat komen te liggen. Precies hiervoor behoedt de AVG. De wet is bedoeld om bewust om te gaan met het verspreiden van jouw persoonsgegevens en misbruik te voorkomen.
Gegevensuitwisseling is aan de orde van de dag en noodzakelijk voor communicatie. Men noteert een terugbelverzoek, mailt een uitnodiging of tekent een overeenkomst voor een nieuwe baan. Dit is allemaal toegestaan onder de AVG. Soms is het wettelijk verplicht om bepaalde gegevens te noteren. Denk bijvoorbeeld aan de werkgever die salaris moet betalen aan de werknemer. De werkgever moet dan wel het bankrekeningnummer hebben van de werknemer.
Wat mag niet?
Je mag niet meer gegevens vragen dan nodig. Gegevens ook niet langer bewaren dan nodig is. Sollicitaties na afronding na 4 weken vernietigen. Salarisadministratie 7 jaar bewaren vanwege de fiscale bewaarplicht. Neem veiligheidsmaatregelen om opgeslagen persoonsgegevens te beschermen en denk na over wie en waarom toegang heeft tot deze persoonsgegevens. Voorkom toegang door onbevoegden door sterke wachtwoorden in te stellen en deze regelmatig te wijzigen. Kortom, waar de AVG om gaat is dat bewust wordt omgegaan met privacy, dus een uitnodiging aan meerdere genodigden via BCC verzenden (de oplossing voor voorbeeld 2).
Tip
Mijn tip? Voordat u alle regels van de AVG toe gaat passen, is het belangrijk om eerst te kijken óf het wel gaat om persoonsgegevens. Als in het document geen persoonsgegevens staan, is de AVG niet van toepassing. Simpel? Blijkbaar niet. Daarom een toelichting op enkele voorbeelden.
Zijn dit persoonsgegevens?
Een bouwplan, zoals genoemd in mijn voorbeeld (1) is geen persoonsgegeven. Het gaat om een gebouw. De AVG heeft daarmee niks van doen. En als al persoonsgegevens in het bouwplan genoemd zouden worden, dan kan dat toch weggelakt worden? Het niet verstrekken van de gegevens is in strijd met de Wet op de openbaarheid van bestuur.
Terugkomend op voorbeeld 3 en 4: het uitwisselen van rapporten met gevoelige/medische persoonsgegevens. De betrokken persoon zelf heeft volgens de AVG recht op inzage en recht op correctie. Weigeren van toesturen van documenten aan de persoon in kwestie is duidelijk een overtrokken reactie op de AVG en is zeker niet de bedoeling van de AVG. De verzending dient uiteraard wel op een (technisch) veilige manier plaats te vinden.
Daarnaast kan een gemachtigde om persoonsgegevens vragen. Twijfelt een instantie of de verzoeker gemachtigd is? Dan heeft de instanties het recht om dat eerst te verifiëren. Maar, in het geheel niet verstrekken van gegevens wegens de AVG, is nonsens.
Voldoen aan de AVG
De kritische lezer stribbelt mogelijk nog wat tegen: ‘Maar de autoriteit Persoonsgegevens handhaaft de AVG en van mijn werkgever moeten we als bedrijf voldoen aan de AVG’. Beide zinsdelen zijn waar. Voor een bedrijf met meer dan 250 medewerkers in dienst is een verwerkingsregister verplicht. Schrijf daarin welke maatregelen getroffen zijn om te voldoen aan de AVG. Dit ziet de AP als een belangrijke eerste stap waarmee een bedrijf laat zien dat zij de privacyregels serieus neemt. Minder dan 250 medewerkers in dienst? Ook dan moet nauwkeurig worden omgegaan met persoonsgegevens. Een privacyregeling of –verklaring raad ik aan. Mocht je juridisch advies willen over de privacywetgeving neem dan contact met mij op om de mogelijkheden te bespreken!
Bescherming privacy
Bij het schrijven van deze stukken neem ik de privacy van mijn cliënten en van de wederpartijen in acht. Ik noem daarom nooit namen en generaliseer de gebeurtenissen, zodat deze niet herleidbaar zijn tot individuen.
Gerelateerde artikelen:
Zelfstandig ondernemer? Ook u moet voldoen aan de Algemene Verordening Gegevensbescherming!
