Mijn e-mailbox loopt vol met privacy-verklaringen! Vanaf vandaag is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat is geen verrassing, want deze verordening is al ruim twee jaar geleden goedgekeurd in het Europese Parlement en door de Raad van Europa.
Met D-day in het vizier was de AVG de afgelopen weken veelvuldig in het nieuws. Ook dienstverleners buitelden over elkaar heen met goed bedoelde adviezen. De berichtgeving en adviezen zijn echter verre van eenduidig en inmiddels doen ook veel spookverhalen de ronde. Fake AVG-nieuws! De AVG biedt geen concrete handvatten, waardoor niet makkelijk op het netvlies te krijgen is wat van bedrijven verwacht wordt. De verordening staat vol met open normen en ook de handleiding van de Rijksoverheid biedt (te) veel ruimte voor eigen interpretatie.
Kort en goed: je weet pas echt zeker of je voldoet aan de AVG als je een controleur van de toezichthouder op bezoek hebt gehad. Het is overigens maar de vraag of dit zo’n vaart gaat lopen. Als we de media mogen geloven, is de toezichthouder namelijk bij lange na nog niet klaar om haar functie uit te oefenen. Er is onvoldoende budget beschikbaar en de toezichthouder worstelt met leegloop en ruziënde bestuurders.
Doorgeslagen regelgeving
Het is goed dat we nadenken over de bescherming van persoonsgegevens. Niemand wil dat zijn gegevens op straat komen te liggen. De AVG gaat echter veel te ver. Vooral non-profit organisaties, zoals sportverenigingen, stichtingen voor het goede doel en Verenigingen van Eigenaren, worden onevenredig zwaar belast. Zij worden immers gehouden aan nagenoeg dezelfde normen voor bescherming van persoonsgegevens als grote organisaties zoals Facebook, Twitter en Instagram.
Grote organisaties hebben budget en mankracht om in te zetten voor de implementatie van de AVG. Zij hebben hun zaken (voor zover ze dat niet al hadden) inmiddels op orde. Daarom wordt je nu dus overspoeld met privacy-verklaringen.
Verenigingen en stichtingen zijn afhankelijk de inzet van vrijwilligers. Zij hebben over het algemeen niet voldoende kennis in huis en worstelen met de vraag wat de AVG voor consequenties heeft. Daarbij hebben ze ook niet het budget om de implementatie van de AVG uit te besteden. Het bestuur van de lokale voetbalclub zal er dan ook zelf voor moeten zorgen dat de club AVG-proof is!
Rol van de overheid
Verenigingen en stichtingen (maar ook kleinere ondernemingen) worden door de overheid aan hun lot overgelaten. Door de overheid en de Autoriteit Persoonsgegevens wordt er geen informatie verstrekt die is toegesneden op een ‘kleine verwerker’. Ik vind dat de overheid op zijn minst standaarddocumenten had kunnen ontwikkelen voor deze doelgroep. Helaas moeten verenigingen en stichtingen zelf het wiel uitvinden. Er wordt wel informatie aangeboden door bijvoorbeeld belangenverenigingen en adviesbureaus maar daar hangt vaak een prijskaartje aan.
Aanvankelijk werd er in de media bericht dat er vanaf 25 mei 2018 een overbruggingsperiode zou worden ingelast om organisaties de kans te bieden te voldoen aan de vele verplichtingen. Dit bericht werd kort daarna bijgesteld. De Minister van Rechtsbescherming liet weten, dat de Autoriteit Persoonsgegevens vanaf 25 mei 2018 stipt gaat controleren. In reactie liet deze toezichthouder vervolgens zelf weten niet over voldoende middelen te beschikken om de controle ook daadwerkelijk zo voortvarend op te pakken.
Gisteren berichtte minister Dekker dat hij verwacht dat er minder streng op kleinere organisaties (zoals sportverenigingen en Verenigingen van Eigenaren) zal worden gecontroleerd. Hoewel verenigingen, scholen en zorginstellingen niet onder de AVG-verplichtingen uitkomen, zal de toezichthouder zich volgens de minister wellicht coulant opstellen.
Dit zijn hele voorzichtige woorden van de Minister Rechtsbescherming. Bovendien is Nederland vanuit het Europese Parlement min of meer op de vingers getikt, omdat er zo ‘laks’ wordt omgegaan met de invoering van de nieuwe regels. De toekomst zal moeten uitwijzen of de Autoriteit Persoonsgegevens inderdaad coulant zal zijn als een non-profit organisatie niet heeft voldaan aan de AVG en de door haar verwerkte persoonsgegevens zijn gelekt.
Conclusie: AVG kent geen nuances
We facebooken, instagrammen en twitteren onze vingers blauw. De meest intieme zaken delen we met elkaar via social media. Eerlijk is eerlijk: privacy staat daarbij niet hoog op het prioriteitenlijstje! Toch is het juist door het gebruik van social media en alle andere varianten van elektronische gegevensuitwisseling dat we na moeten denken over de bescherming van onze persoonsgegevens.
De AVG kent echter geen nuances. Het is niet logisch om een ‘kleine verwerker’ over één kam te scheren met een multinational. De enige uitzondering die de AVG nu kent, is het kerstkaartenlijstje van mijn moeder. Hier had wat mij betreft het ledenbestand van de lokale sportclub ook onder geschaard mogen worden!
Fotocredits: Jacob Lund / Adobe Stock
