Onze privacy is hun brood

Gegevensbescherming De nieuwe privacywetgeving heeft geleid tot een nieuw beroep: de AVG-adviseur. Wil je noteren dat je bezoeker in een rolstoel zit? Dat gaat dus niet zomaar.

Illustratie Roland Blokhuizen

Grommend klikken Nederlanders dagelijks heel wat cookiemeldingen weg. ‘Ja-ha, we gaan akkoord.’ In mei 2018 ging in Nederland de Algemene verordening gegevensbescherming (AVG) in, als gevolg van het EU-besluit dat bedrijven en instellingen transparanter en verantwoordelijker met persoonsgegevens van medewerkers en consumenten moeten omgaan.

Dat heeft een levendige, nieuwe branche opgeleverd: mensen die organisaties vertellen hoe ze dan precies aan die AVG moeten voldoen.

Nog even kort: doel van de AVG is dat organisaties persoonlijke gegevens van werknemers en consumenten correct verwerken. Zij moeten duidelijk laten weten welke informatie ze verzamelen, wat ze ermee doen en gebruikers van hun website via bijvoorbeeld een cookiemelding toestemming vragen hun data te verwerken.

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder, die namens de Nederlandse, maar vooral de Europese overheid controleert of organisaties zich aan de AVG houden. In juli dit jaar deelde ze haar eerste boete uit: 460.000 euro voor het Haga Ziekenhuis, dat de interne beveiliging van patiëntendossiers niet op orde had.

NRC sprak vier mensen die (mede) dankzij de AVG hun brood verdienen.

Bram van Tiel (40), consultant PWC

Bram van Tiel is van origine wiskundige. Hij werkt nu zeventien jaar bij consultancybureau PwC, waarvan het laatste jaar als partner cybersecurity en dataprivacy. Zijn afdeling voert sinds zes jaar regelmatig onderzoek uit naar privacy in de Nederlandse samenleving.

Het team van Van Tiel begon zo’n drie jaar geleden al met de eerste AVG-vraagstukken, in allerlei organisaties. „Als consultant stel je een plan op, beantwoord je vragen, maar wil je uiteindelijk ook weer de deur achter je dichttrekken, zodat de organisatie zelf verder kan”, zegt hij.

Bedrijven zijn onder de AVG verplicht om regelmatig controles uit te voeren met betrekking tot de bescherming van de persoonsgegevens waarover zij beschikken. Van Tiel: „De AVG zegt niet: ‘gij zult geen datalek hebben’, want zoiets is nooit volledig te voorkomen. Maar als zoiets wél voorkomt, dan moet er een heel plan klaarliggen om de schade te beperken.”

Bij een datalek denken mensen vaak aan boze opzet of hackers, maar volgens Van Tiel gaat het in de meeste gevallen om menselijke fouten. „Iemand die een tas met papieren in de trein laat liggen, bijvoorbeeld.”

Bij het ingaan van de AVG waren lang niet alle organisaties er klaar voor, weet Van Tiel. Toch is inmiddels 89 procent van de ruim duizend middelgrote en grote bedrijven die hij onderzocht er zeker van dat ze bij controle door toezichthouder AP aan de eisen voldoen.

Is daarmee het werk voor de AVG-professionals niet grotendeels voltooid? Van Tiel vindt van niet, maar daar is hij natuurlijk ook consultant voor. Hij legt uit waar volgens hem nog de gebreken zitten.

Er is veel geïnvesteerd in privacy de laatste jaren, meent Van Tiel, maar nu komt de vraag hoe onze privacy ook in de toekomst gewaarborgd blijft. „Stel je voor dat je een nieuwe auto bouwt. Je bent er járen mee bezig, en dan helemaal op het einde zegt iemand: ‘oh, en nu moet er nog een airbag in’. Dan moet je die hele auto weer uit elkaar slopen, en er een airbag in plaatsen.”

Zo gaan volgens Van Tiel veel organisaties nu nog met de AVG om. Hij pleit daarom voor privacy by design: bij de ontwikkeling van een nieuwe dienst of een nieuw product niet áchteraf privacybescherming inbouwen, maar het in het proces meenemen. „Volgens ons laatste onderzoek doet 88 procent van de organisaties dit nog niet.”

Lees ook: Dit gebeurt er als je om je gegevens vraagt

Suzanne Verweij (50), ICT-coördinator Koninklijk Concertgebouw

Suzanne Verweij is sinds drie jaar ICT-coördinator bij het Koninklijk Concertgebouw in Amsterdam. Met een collega die verantwoordelijk is voor zaalverhuur en programmering zorgt zij voor implementatie van de AVG.

En dat terwijl ze géén juridische of technische opleiding heeft gevolgd. Wel krijgt ze hulp van specialisten als dat nodig is, maar verder is het vooral een kwestie van veel zelf uitzoeken. Zeker in de aanloop naar de invoering ervan was ze daarom veel tijd aan de AVG kwijt. Met de handleidingen van de AP kwamen Verweij en haar collega een heel eind, maar soms moesten ze wat extra hulp van juristen inroepen.

Neem de fotografie van het publiek. Het mág wel, maar hoe informeer je honderden bezoekers op de juiste manier dat ze gefotografeerd kunnen worden? „Voordat de AVG inging, informeerden we ze ook al wel, maar nu zijn we daar nog preciezer in geworden: zeker als mensen echt herkenbaar op de foto staan”, zegt Verweij. Inmiddels heeft ze weer meer tijd voor haar reguliere taken, maar ze vergadert nog minstens één keer per maand met haar AVG-collega.

Verweij legt uit dat opslag van persoonsgegevens lang niet altijd gebeurt vanuit een commercieel motief, maar meestal om extra service te kunnen verlenen. „Wij hebben een ticketsysteem waarin medewerkers extra informatie kunnen opschrijven over bezoekers. Als een vaste bezoeker bijvoorbeeld alzheimer heeft, kan dat voor de mensen bij de kassa handig zijn om te weten. Toen de AVG inging, zijn we al die notities langsgegaan en hebben we alle bijzondere persoonsgegevens verwijderd.”

Of een bezoeker alzheimer heeft, is namelijk medische informatie, en die mag het Concertgebouw niet noteren, behalve met expliciete toestemming. „Soms belt iemand op die in een rolstoel zit, om te vragen naar een speciale plaats. Dan vragen wij of we die informatie mogen noteren. Dat doen we nu echt met een datum erbij, zodat we zeker weten dat er toestemming voor is gegeven.”

Marnix Enthoven (27), inspecteur Autoriteit Persoongegevens

Marnic Enthoven werkt nu iets meer dan een jaar als senior inspecteur systeemtoezicht bij de Autoriteit Persoonsgegevens. Hij studeerde IT-recht in Groningen en volgde daarna een jaar lang een traineeship bij de rijksoverheid voor hij bij de AP terechtkwam. Met haar 186 werknemers ziet de instelling erop toe dat Nederlandse organisaties zich aan de regels van de AVG houden.

De AP is volgens Enthoven een relatief kleine toezichthouder. Dit betekent dat ze niet achter elke instantie aangaat, maar zich voor acties onder andere baseert op berichtgeving in de media, eigen verkennend onderzoek en signalen van burgers. De Autoriteit wijst organisaties in een gesprek of per brief vaak op een overtreding. „Dat kan al genoeg zijn om de fout te corrigeren.”

Enthoven: „Het eerste half jaar hebben we van burgers al 15.000 klachten binnengekregen. Bijvoorbeeld over de Nederlandse loterijen.” Loterijen bleken vaak een kopie van een identiteitsbewijs te vragen en waren niet transparant over hoe mensen die gegevens konden laten verwijderen. Onder toezicht van de AP hebben de loterijen hun werkwijze aangepast, zegt Enthoven.

De AP krijgt ook veel klachten uit de vastgoedsector. „Mensen die bij inschrijving door een huisvestingsorganisatie om een inkomensverklaring van de Belastingdienst wordt gevraagd, bijvoorbeeld. Zij vragen zich af of dat mag.” De AP is hier onderzoek naar gestart.

Wouter Gerritsen (36), zelfstandig AVG-adviseur voor zzp’ers

Wouter Gerritsen is naar eigen zeggen per toeval in de AVG-wereld terechtgekomen. Hij begon vorig jaar met zakenpartner Max Verhoeven een eigen bedrijf: ZZP AVG.

Gerritsen studeerde Nederlands recht, maar had na zijn afstuderen niet de ambitie iets binnen het recht te doen. Hij belandde in een omgeving met veel start-ups, waaronder webshops.

„Toen de AVG eraan kwam, vroegen veel mensen of ik me daar niet eens in kon verdiepen, vanwege mijn juridische achtergrond. Ik heb toen een seminar gevolgd aan de Rijksuniversiteit Groningen en veel aan zelfstudie gedaan. Mijn zakenpartner had vanuit zijn bedrijf een grote database met zzp’ers, en samen kwamen we toen op het idee voor ZZP AVG.”

Dat ‘idee’ is het volgende: zzp’ers kunnen op zijn website een korte vragenlijst invullen om te onderzoeken of zij persoonsgegevens verwerken. Als dat zo is, biedt hij een gratis gesprek aan om te bezien hoe ze kunnen voldoen aan de AVG, en wat ze daar precies voor nodig hebben. Juridische documentatie kunnen ze vervolgens tegen betaling bij hem afnemen.

Volgens Gerritsen zijn de meeste zzp’ers verbaasd dat zij iets met de AVG moeten doen. „En bij mij komen dan nog de freelancers die enigszins met het onderwerp bezig zijn.” Toch vindt Gerritsen dat bijna álle freelancers er serieus naar moeten kijken. „Als jij een website hebt met een contactformulier, ben je al persoonsgegevens aan het verwerken. Of als je facturen naar klanten stuurt met een factuurnummer – dan zijn ook die te herleiden tot een persoon.”

Natuurlijk is de kans klein dat de AP zomaar achter een eenmanszaak aangaat. Maar, zegt Gerritsen, wat nu als een van je klanten een klacht indient? „Of, en dit kan iedereen overkomen: wat als jij gegevens uitwisselt met een partner, en die partner wordt gehackt? Als jij je documentatie niet op orde hebt, kun jij ook verantwoordelijk worden gehouden.”

Hoe hoog een eventuele boete voor zzp’ers dan is, is volgens hem nog niet echt in te schatten. De eerste moet nog aan een zzp’er worden uitgedeeld.

Gerritsen weerspreekt niet de AVG een verdienmodel is. „Je kunt er goed geld aan verdienen, ja.” Hij doelt daarmee op de talrijke andere adviseurs en certificaten die op internet te verkrijgen zijn. „Het gevaar zit erin dat mensen zo’n certificaat kopen en denken dat ze daarmee aan de wettelijke eisen voldoen. Maar het gaat om het naleven van de regels.”