Steun ons en help Nederland vooruit

Publicaties

Is het nodig of is het mogelijk – persoonsgegevens en de AVG

Zo nu en dan komen we bij het werk in de gemeenteraad zaken tegen die het leven gemakkelijker moeten maken. Die de wereld een beetje mooier zouden moeten maken. Met een gezonde hoeveelheid goede bedoelingen wordt er gepoogd met behulp van moderne technologie tot een voor alle partijen beter resultaat te komen.

Door middel van het doelgericht verzamelen en combineren van gegevens en het gebruik van algoritmes kan er voor gezorgd worden dat er ook door de gemeente een betere, of in ieder geval een minder belastende service kan worden geleverd.

In principe is hier weinig tegen in te brengen. De mogelijkheden die ons op dit moment ter beschikking staan leiden in veel gevallen tot een betere kwaliteit van leven. Hoe men hier ook tegenover staat; veel mensen kunnen zich inmiddels al geen leven meer voorstellen zonder mobiele telefoon en een veelheid aan ondersteunende app’s.

Maar bij alle positieve aspecten van deze technologische vooruitgang zijn er ook schaduwzijden. Veel van deze schaduwzijden hebben te maken met het verzamelen van persoonsgegevens. Denk hierbij bijvoorbeeld aan de uitwassen die zich voordeden bij de toeslagenaffaire. Maar ook aan alle data-lekken en gevallen van data-roof die zich hebben voorgedaan.

Het is duidelijk dat er een vorm gevonden moet worden die de geneugten van de moderne technologie in evenwicht brengt met de gevaren die deze zelfde techniek naar voren brengt. Om een zeker evenwicht te bieden is de AVG in werking getreden.

De Algemene Verordening Gegevensbescherming (‘AVG’) is een regeling van de Europese Unie die sinds 2018 de privacy van inwoners van de EU beschermt. De regeling is bedoeld om regels te stellen over het gebruik van persoonsgegevens en schept duidelijkheid aan overheden, bedrijven en personen over hoe met persoonlijke gegevens om te gaan.

Een nuttige handleiding hierbij is de ‘Handleiding Algemene verordening gegevensbescherming’ die is opgesteld op verzoek van het Ministerie van Justitie en Veiligheid.

Hierin staat beschreven wat de bedoeling van de AVG is en hoe er mee moet worden om gegaan. De hoofdregel is dat elke gegevensverwerking gerechtvaardigd moet zijn. Of dit het geval is hangt af van twee begrippen: proportionaliteit en subsidiariteit.

Wat deze begrippen inhouden wordt duidelijk wanneer we de Handleiding lezen op pagina 38:

Allereerst moet de verwerking [van persoonsgegevens] proportioneel zijn. Dit betreft de vraag naar effectiviteit en evenredigheid. Als u met de verwerking van de gegevens niet het gesteld doel kunt bereiken, of dat dit zeer onwaarschijnlijk is, dan is deze verwerking niet snel proportioneel.

Het tweede element van de proportionaliteitstoets betreft de evenredigheid. Het legitieme doel dat wordt nagestreefd moet in verhouding staan tot het feit dat daarvoor persoonsgegevens moeten worden verwerkt.

Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende wijze (bijvoorbeeld door geen of minder persoonsgegevens te verwerken) kan worden bereikt. Wanneer u bijvoorbeeld vermoedens heeft dat een specifieke medewerker fraude pleegt, is het niet noodzakelijk om alle werknemers te controleren.

Vervolgens volgen nog vele pagina’s met een verder duiding en analyse.

Het gaat er dus niet alleen om of partijen de gegevens goed beschermen, maar op de eerste plaats of de gegevens wel verzameld zouden moeten worden. Een simpele toestemming van de betreffende personen is niet voldoende om deze voorwaarden te omzeilen.

Wat het voor de gemeente belangrijk maakt is dat de gemeente bij uitstek een plek is waar data bij elkaar komt. De gemeente is een dataknooppunt. Er kan bij de gemeente dan ook de verleiding bestaan om gebruik te maken van die gegevens en die gegevens te combineren. Dit alles uiteraard ter verbetering van de kwaliteit van het werk en de geboden service voor die inwoners.

De bovengenoemde aspecten van de AVG geven echter een belangrijke beperking voor wat die neiging betreft. Het doel kan nog zo nobel zijn, maar de bescherming van de privacy gaat altijd voor. De verleiding bestaat om te focussen op de goede bedoelingen van het gebruik van data. Maar het gaat er in deze altijd om als ‘advocaat van de duivel’ te blijven letten op waar het mogelijk fout zou kunnen gaan.

We laten tegenwoordig niet alleen een spoor van persoonsgegevens achter, maar er is ook een overdaad aan partijen die hier een handel in zien, slordig mee omspringen, of zich niet eens afvragen waarom ze de data verzamelen anders dan dat het misschien ooit wel eens handig zou kunnen zijn om in handen te hebben.

Nogmaals: zelfs al geeft men uitdrukkelijk toestemming voor de opslag en het gebruik van persoonsgegevens zijn de verzamelende partijen nog steeds gebonden aan de AVG en is het hen in veel gevallen verboden persoonsgegevens te verzamelen. We weten allemaal dat dit op dit moment nog te vaak toch gebeurt. Laten we daarom waakzaam zijn waar we zelf invloed hebben om dit gedrag tegen te gaan.

Als volksvertegenwoordigers rust op de leden van de raad de taak om juist de hoofdregel als eerste test op de data-plannen van de gemeente los te laten.

We leven nog niet zo heel lang in een ‘data-samenleving’ en we zijn daarom nog niet allemaal even goed getraind om alle aspecten die hierbij een rol spelen te herkennen. De makkelijkste manier is om elke keer wanneer het woord ‘data’ valt meteen te denken: ‘AVG’. En daarbij in plaats van te denken ‘is dit mogelijk?’ te denken: ‘is dit nodig?’.

De ‘Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming’ (2018) is te vinden op https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming

Gepubliceerd op 01-06-2021 - Laatst gewijzigd op 01-06-2021