AVG: Wat je vooral wél moet blijven doen.

Wat is er veranderd sinds 25 mei 2018? Mathijs Hummel maakt de balans op.

Posted on June 7, 2018 in Blog.

Vrijdag 25 mei 2018. Met goede moed stap ik in de auto naar ons kantoor in Groningen. Een spannende dag, want de AVG is er dan eindelijk.

Hier heeft iedereen twee jaar naartoe geleefd. Ik ben ontzettend benieuwd naar de hoeveelheid mailtjes en belletjes die ik ga krijgen van mensen en organisaties die nog acuut hulp nodig hebben.

AVG

De aanloop naar 25 mei was een drukke periode. Rapportages afronden, verwerkersovereenkomsten toetsen, klant specifieke vragen waarop nog snel voor 25 mei een antwoord moest komen. Op kantoor aangekomen installeer ik mezelf op een van de werkplekken en tap mijn eerste bak koffie. Ik zal er vast nog veel nodig hebben vandaag.

Tegen mijn verwachtingen in ontvouwt zich tot mijn verbazing (en geruststelling) een hele relaxte werkdag. Ik krijg af en toe een telefoontje van personen die eerdere blogs van mij gelezen hebben en uitleg vragen over wat de AVG nou echt inhoudt. Geen ‘spoedjes’ of incidenten die meteen opgelost moesten worden. Dat had ik niet verwacht na de piekbelasting van de periode daarvoor!

Het leven sinds de AVG

We zijn twee weken verder. Als ik de balans opmaak sinds 25 mei, lijkt er op het eerste gezicht weinig veranderd. Tegelijkertijd zie ik in de dagelijkse praktijk een ontwikkeling die ik zorgelijk vind. Hoog tijd om een nuancering aan te brengen.

Organisaties worstelen dagelijks met de inhoud en vertaling van de AVG naar hun praktijk. Ze passen massaal hun privacystatements en websites aan en informeren je daarover. Wat ik interessant vind is de aandacht die de AVG krijgt in de media en dan vooral het type aandacht. Zo wordt in twee minuten de AVG uitgelegd en aan ondernemers gevraagd wat zij doen en hoe ze hun werkzaamheden hebben aangepast om in lijn met de AVG te werken. Vaak is het antwoord: “Ik doe dit nu maar niet meer, omdat ik denk dat dat niet mag.” Helaas is dat over de breedte de tendens. Als ik bij de klant ben, of een training of presentatie geef over privacy en de AVG, krijg vaak de vraag: “Mathijs, ik doe mijn werk op een bepaalde manier en gebruik daarvoor persoonsgegevens. Mag dit nog onder de AVG?”. Als ik dan heel flauw ben, antwoord ik: “Dat hangt ervan af.”

Wat je vooral wél moet blijven doen

Jammer genoeg merk ik dat veel mensen die ik spreek er vanuit gaan dat onder de AVG, even gechargeerd, niets meer mag. Dat heeft men gehoord, gezien of gelezen. Dat gaat zelfs zo ver, dat sommige professionals uit angst voor boetes en de wetgeving, bewust niet meer aansluiten bij interdisciplinaire overleggen met verschillende ketenpartners. Bijvoorbeeld om te overleggen hoe een overlast veroorzakend of verward persoon en diens omgeving het best geholpen kan worden. Dit terwijl het hele overleg erop is gericht om die persoon te helpen en een eventuele verdere escalatie te voorkomen. Uiteindelijk gaat dit dan ten koste van de cliënt.

Ik kan heel duidelijk zijn: dit is niet de bedoeling van de AVG. De AVG zegt niet letterlijk: “Stop met deelnemen aan overleggen anders krijg je een boete”. Het dwingt je wel kritisch te kijken naar wat je hebt, hoe je daarmee omgaat en of je dat ook op een manier kunt doen die meer recht doet aan de privacy van die personen. Maar privacy, of het recht op eerbiediging van de persoonlijke levenssfeer, is niet een absoluut recht. Dat wil zeggen dat het kan worden afgewogen tegen andere rechten, plichten en belangen die in bepaalde situatie prevaleren boven het recht op privacy. Denk aan de vrijheid van meningsuiting, bewaarplichten en het belang van een persoon bij een goede gezondheid. Welke criteria moeten worden meegenomen in die afweging is voer voor een ander blog, maar wat ik hiermee probeer te zeggen is dat er ruimte is.

Ruimte om mensen te helpen, om je zorgplicht te vervullen en om je werkzaamheden op een normale manier te doen. Als je organisatie erop is ingericht om mensen te helpen, of hun gezondheid te verbeteren, dan is dat je primaire taak. Het recht op privacy is een belangrijke pijler in die taak, maar het mag niet bij voorbaat al afbreuk doen aan die taak. Het is dan wel belangrijk dat je niet alleen de vraag ‘mag dit’ beantwoordt met JA of NEE. Stel ook jezelf de vraag: ‘Hoe kan ik dit doen, op een manier die recht doet aan de privacy van de persoon, zonder dat dit ten koste gaat van mijn primaire taak.’ Dat betekent dat je je ketenpartners en personeel goed moet informeren en met elkaar gezamenlijk die discussie voeren.

We kunnen allemaal doemdenken en, zoals de media en de toezichthouder dat doen, benadrukken dat het slecht is dat er in de zorg al meer dan 3.000 datalekken zijn gemeld. Ik vind dat helemaal niet slecht, maar juist goed. Het feit dat er gemeld wordt, betekent dat de meldplicht werkt, dat organisaties de vinger op de zere plek durven te leggen en daarover transparant durven te zijn. Ik zie daarom ook een taak voor mezelf, Qbit en mijn ‘bloedbroeders’, zoals een oud-collega mijn concullega juristen liefkozend noemde, om het evangelie van de AVG op een positieve manier te verkondigen.

Mathijs Hummel

By Mathijs Hummel

Advisory & Assurance

Any questions about this post or our services? Just mail me or call me on +31 6 12 985 740.

Contact us

The world of cybersecurity is complex and rapidly evolving, we know. Qbit guides you. Feel free to contact us.

Contact us