De AVG: geen beperking maar een afweging

De AVG wordt vaak ervaren als een probleem. We komen het in veel projecten tegen als een barrière die samenwerking of kennisdeling in de weg staat. En dat is vaak niet terecht. In dit artikel laten we je zien dat je veel vaker informatie wel mag delen dan niet.

Veel mensen denken dat de Algemene Verordening Gegevensbescherming (AVG) gaat over een verbod op gegevensdeling. Dat is niet zo. De AVG is namelijk geschreven om de grondrechten en vrijheden van burgers te beschermen. Niet om gegevensuitwisseling te verbieden. De AVG bestaat om de zorgvuldige uitwisseling van gegevens te waarborgen. Het verwerken van persoonsgegevens mag. Maar, zo stelt de AVG, het moet 'ten dienste van de mens staan'. Het gebruiken van persoonsgegevens moet zorgvuldig gebeuren. En er moet een afweging gemaakt worden tussen de verschillende grondrechten en hun belang. Doe je dat, ontdek je dat je veel vaker informatie wél mag delen, dan niet. We laten hier zien welke grondrechten je moet afwegen en wiens taak het is om te bepalen of een werkproces voldoet aan de AVG. 

Of je proces voldoet aan de AVG hang af van de waarborging en inrichting daarvan. In dit artikel nemen we je mee in hoe die afweging tussen beschermen van persoonsgegevens en zorgvuldige werkprocessen eruitziet. En wat je moet doen als je met de AVG in aanraking komt.

“De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.” - AVG Grond 4

Maak een afweging

De AVG reguleert het verwerken van persoonsgegevens. ‘Persoonsgegevens’ slaat op alle gegevens waarmee iemand direct of indirect te identificeren is (artikel 4 lid 1). ‘Verwerken’ betekent onder andere het delen, vastleggen of gebruiken van gegevens. 
Het recht op privacy is een grondrecht. Het is goed te beseffen dat élke verwerking van persoonsgegevens in zekere mate een inbreuk op dat recht is. Maar er zijn meer grondrechten. Op Europees niveau alleen al zijn er meer dan twintig. En ook in de Nederlandse Grondwet en in internationale verdragen zijn grondrechten. Bij het verwerken van persoonsgegevens moet de gebruiker de belangen van het recht op privacy afwegen tegen de belangen van bijvoorbeeld het recht op sociale zekerheid (artikel 20 Grondwet) of het recht op vrijheid en veiligheid (artikel 5, Europees Verdrag voor de Rechten van de Mens). Of tegen andere wettelijke taken of legitieme doelen. 
In andere woorden: er moet een reden, een grondslag zijn die de verwerking van persoonsgegevens rechtvaardigt. De belangen van grondrechten staan soms recht tegenover elkaar. In zo’n situatie moeten de belangen en ernst van de handelingen volgens verschillende grondrechten tegen elkaar afgewogen worden. En dat is precies wat de AVG voorschrijft: een afweging.

Hoe legitimeer je uitzonderingen?

Overheden, woningbouwcorporaties, zorginstellingen of andere publieke organisaties moeten persoonsgegevens verwerken of onderling gegevens uitwisselen om hun taak goed uit te voeren. Om de afweging goed te kunnen maken zijn er grondslagen geformuleerd waaruit een inbreuk op het recht op privacy gelegitimeerd kan worden. Er zijn zes grondslagen. Die staan in artikel 6 van de AVG. Voor overheden en initiatieven gefinancierd door de overheid zijn er drie belangrijk: 

1. Wettelijke taak
   De eerste grondslag is de uitvoering van een wettelijke taak (zie artikel 6, lid 1(c) AVG). Deze wordt vaak goed begrepen en gebruikt door publieke organisaties. Vanzelfsprekend is het verwerken van gegevens toegestaan als dat noodzakelijk is om een taak die in de wet aan een verwerker is besteed, uit te voeren. Denk hierbij aan het verwerken van persoonsgegevens door Veilig Thuis omdat zij de wettelijk taak hebben meldingen in ontvangst te nemen en onderzoek te doen. Veel organisaties zijn zich bewust van de wettelijke taak die ze uitvoeren, en de gegevensverwerking die daardoor toegestaan is.
2. Algemeen belang
   De tweede grondslag, is er een gaat over het uitvoeren van een taak van algemeen belang of openbaar gezag (zie artikel 6, lid 1(e) AVG. Bijvoorbeeld het noteren van een kenteken door de politie als iemand door rood rijdt, of het registreren van rekeningnummers voor het uitbetalen van de bijstand. Ook twee overheidsorganen die complementair aan elkaar taken vervullen die onder hetzelfde algemene belang vallen, kunnen door deze grondslag legitimeren dat ze de benodigde informatie delen om die taken goed uit te voeren.
   Waar de hiervoor genoemde grondslag goed begrepen en gebruikt wordt, is dat bij deze grondslag niet het geval. We zien dat FG’s vaak gegevensverwerking afwijzen op grond van de AVG als er geen wettelijke grondslag is. Terwijl een wettelijke grondslag dus helemaal niet de enige grondslag is voor een rechtmatige verwerking. Deze grondslag is net zo legitiem. En geeft soms meer ruimte. 
3. Gerechtvaardigd belang
   Ten derde is verwerking van gegevens toegestaan als het noodzakelijk is om gerechtvaardigde belangen van de verwerkende partij of een derde te behartigen. In andere woorden, het belang van de verwerker vereist en rechtvaardigt dat er gegevens verwerkt worden. Niet elk belang is een gerechtvaardigd belang. Hier moet wederom een afweging gemaakt worden. Het vervullen van het belang van de verwerker moet zwaarder wegen dan de inbreuk op het recht op privacy van de betrokkene. Dat kan bijvoorbeeld omdat het een kleine inbreuk op privacy is. Of omdat de belangen van de verwerker groot zijn. Veel belangen kunnen kwalificeren als een gerechtvaardigd belang. En dus zijn er veel redenen waarom persoonsgegevens verwerkt zouden kunnen worden onder deze grondslag

Een voorbeeld: Grondslagen 1 en 2 - gegevensdeling binnen de PGA-aanpak

In veel steden wordt er geïnvesteerd in de preventieve aanpak van criminele jongeren. Een deel van de interventies in dit kader besloeg algemene maatregelen zoals het plaatsen van straatverlichting op hangplekken of het opleggen van samenscholingsverboden. Tegelijkertijd signaleerde de gemeente en vele partners dat er ook individuele aanpakken nodig zijn binnen deze groepen. Bijvoorbeeld voor jongeren die de kern van de problematiek binnen de groep leken te zijn. Of ‘doorgroeiers’ waarbij het criminele gedrag toeneemt, waar zwaardere inzet nodig is om erger te voorkomen. Deze individuele aanpak heet de persoons-gerichte aanpak (PGA). 

Voor de PGA is gegevensdeling en –verwerking door verschillende partners nodig. Ze zien immers allemaal delen van het totale plaatje, maar hebben elkaar nodig om de volledige problematiek in beeld te krijgen. Denk hierbij aan het OM, de politie, het jongerenwerk, de burgemeester, leerplicht en het zorg- en veiligheidshuis. Volgens de AVG is gegevensdeling voor deze aanpak tussen deze partners rechtmatig. Voor een deel van de partners, bijvoorbeeld de politie en het OM, dient de gegevensdeling in de uitvoering van hun wettelijke taak (eerste grondslag), te vinden in onder andere de Politiewet en de Wet justitiële en strafvorderlijke gegevens, respectievelijk. Voor andere partners is de gegevensdeling en –verwerking gerechtvaardigd volgens de AVG omdat het een duidelijk doel van algemeen belang en openbare orde dient: wederom, het aanpakken van criminaliteit. Hier zien we een toepassing van de grondslag onder artikel 6 lid 1(e) AVG. Deze toepassing staat dus niet letterlijk in de wet, maar het mag wel van de AVG. Hierbij gaat het om partners als de burgemeester en het jongerenwerk. De afweging tussen het schenden van de privacyrechten van de jongeren in kwestie, afgezet tegen het dienen van het algemeen belang, leidt tot de uitkomst dat het kan volgens de AVG. Hoewel het voor verschillende partijen dus op een andere manier gerechtvaardigd is, zijn beide grondslagen even legitiem: het gegevensdelen mag. 

In alle gevallen moet er voor goede uitvoering van de AVG niet alleen afgewogen worden wat de ernst is van de inbreuk op de privacy. Het moet afgewogen worden tegen de zwaarte van het andere belang, zoals die van de uitvoering van de wettelijke taak, een algemeen of een gerechtvaardigd belang. Er moet ook overwegen worden wat er gebeurt als de informatie niet gedeeld wordt. Denk bijvoorbeeld aan het doorgeven van gegevens over het afsluiten van water in een gezin waar kinderen wonen: door zo’n afsluiting komt de gezondheid en veiligheid van de kinderen in het geding. Daarmee bedreigt dat hun veiligheid. In dit geval is er een wettelijke plicht om zulke handelingen door te geven aan de gemeente, zodat er schuldhulpverlening geboden kan worden (zie de Wet Gemeentelijke Schuldhulpverlening). De potentiële schade van het niet delen is namelijk te groot.

De AVG heeft geen ‘absolute gelding’ (zie grond 4 AVG). Er is geen standaardantwoord of iets rechtmatig is volgens de AVG. Geen enkele verwerking mag altijd wel of altijd niet. De AVG vereist zoals genoemd een fundamentele afweging van alle grondrechten en de risico’s door het wél of niét delen van gegevens. Het maken van deze keuze ligt niet bij een privacyofficer of de functionaris gegevensbescherming (FG): die eindverantwoordelijkheid ligt bij de bestuurder.

De bestuurder beslist 

Een FG adviseert en houdt toezicht op de naleving van de AVG. De FG is dus op zoek naar de punten waar het in de organisatie mis zou kunnen gaan. Maar volgens de AVG is een FG of de privacy-jurist niet verantwoordelijk voor de afweging of een gegevensverwerking rechtmatig is. De AVG schrijft voor dat een organisatie een groot aantal andere waarden ook meeneemt in de afweging. Daarom is de inrichting van de gegevensverwerking en de afweging van de rechtmatigheid daarvan een taak voor de bestuurder. Die kan de verschillende relevante belangen tegen elkaar afwegen. Het bestuur heeft hiermee de taak en de verantwoordelijkheid om de AVG goed toe te passen. En om zowel het recht op privacy als andere rechten te respecteren en goed uit te voeren. 

Naast rechtmatige grondslag vereist de AVG een zorgvuldige borging van het proces van de gegevensverwerking. Ook hier kan de FG adviezen geven. Maar de bestuurders blijven verantwoordelijk. Soms wordt een gegevensverwerking met een rechtmatige grondslag voor verwerking toch gezien als ‘niet conform AVG’ door de FG. Vaak gebeurt dat omdat het werkproces niet zorgvuldig op papier is gezet door de organisatie. De zorgvuldigheid die de AVG voorschrijft is dan niet concreet in het proces beschreven. In die zin is het tegenkomen van de AVG vaak niet een juridisch knelpunt, want van de wet mag er veel. Het blijkt een organisatievraagstuk, wat meer structurering of transparantie vraagt. En dat knelpunt kan een organisatie met een verandering op de inrichting van processen makkelijk doorbreken.

Ontwerp en beschrijf een zorgvuldig proces

Om zorgvuldige gegevensverwerking te verzorgen, moet er dus aandacht geschonken worden aan welke gegevens, hoe, op welke manier en door wie worden verwerkt. De AVG verbiedt de verwerking van reguliere persoonsgegevens niet. De AVG vereist wel dat alle rechtmatige verwerking van persoonsgegevens moet voldoen aan een aantal beginselen om de zorgvuldigheid te waarborgen. Er moet namelijk aangetoond worden waarom de gegevensverwerking noodzakelijk is. En of het privacyrisico van de verwerking proportioneel is ten opzichte van het belang of doel dat het probeert te bereiken. Ook als de grondslag legitiem is, is het nodig om dit zorgvuldig vast te leggen. Deze vijf beginselen zijn te vinden in artikel 5. Een uitgebreidere toelichting staat in Grond 39. Elke verwerking van persoonsgegevens moet aan alle vijf beginselen voldoen. Als de verwerking onzorgvuldig is, is die ook onrechtmatig: dan mag het dus niet. Er moet duidelijk opgeschreven worden hoe de gegevensverwerking eruitziet. Welke gegevens verwerkt worden, wanneer, waarom. Wie die gegevens onder ogen (kan) krijgen, en hoe lang ze bewaard worden. Een verwerking moet duidelijk en concreet voldoen aan de volgende eisen:

Rechtmatigheid, behoorlijkheid en transparantie: elke verwerking van persoonsgegevens dient op een rechtmatige grondslag gestoeld te zijn. Daarnaast moet de communicatie over de verwerking uitwijzen welke gegevens er verwerkt worden en met welk doel.

Doelbinding: het verwerken van persoonsgegevens moet gebeuren om duidelijke en uitdrukkelijke en gerechtvaardigde doeleinden. Als gegevens voor een doeleinde zijn verzameld, mogen ze niet zomaar worden verwerkt voor een ander doeleinde.  

Minimale gegevensverwerking: de verwerker mag niet meer gegevens verwerken dan er nodig zijn voor de doeleinden waarvoor die gegevens worden verwerkt. De opslagperiode van de verwerkte gegevens moet zo kort mogelijk gehouden worden. 

Juistheid: de verwerker moet alle redelijke maatregelen nemen om te zorgen dat de verwerkte gegevens juist en actueel zijn. De verwerker moet onjuiste gegevens wissen. 

Opslagbeperking: de verwerker moet persoonsgegevens die niet langer nodig zijn voor het oorspronkelijke doel verwijderen. 

Integriteit en vertrouwelijkheid: de verwerker neemt alle redelijke maatregelen om te zorgen dat beveiliging en vertrouwelijkheid van de gegevens gewaarborgd is. 

Het is de verantwoordelijkheid van de verwerker om deze beginselen na te leven en aan te tonen dat de verwerking aan de beginselen voldoet.

Samengevat: 

• De AVG staat veel gegevensverwerking toe. De AVG vereist namelijk een afweging tussen grondrechten: aan de ene kant het recht op privacy, aan de andere kant de vele andere rechten die een burger in de EU heeft. 
• De AVG heeft “geen absolute gelding” (Grond 4) waardoor er geen standaardantwoord is of een verwerking van gegevens wel of niet mag.
• Een rechtmatige verwerking van gegevens vereist (1) een legitieme grondslag en (2) een voldoende zorgvuldig ontworpen proces.
• De bestuurder van de verwerkende organisatie bepaalt hoe de afweging gemaakt moet worden.