Problemen rond de privacywet nog lang niet opgelost
Een jaar na de invoering van de AVG concludeert VNO-NCW dat de problemen voor ondernemers zijn gebleven: de wet is te complex voor het mkb, werkt soms onbedoeld privacy tegen en biedt onvoldoende balans tussen privacy en andere maatschappelijke belangen zoals veiligheid.
Toen de AVG een jaar geleden in werking trad, was er al veel onrust bij ondernemers. Zij willen graag zorgvuldig omgaan met de privacy van hun klanten en werknemers, maar begrijpen nauwelijks wat er concreet wordt verwacht, zo schrijft VNO-NCW in een brief aan de Vaste Kamercommissie Justitie en Veiligheid. Mede door de dreiging van hoge boetes door de toezichthouder was er sprake van een soort AVG-koorts. Deze heeft zeker het bewustzijn over de verwerking van gegevens vergroot en – met name bij data-intensieve bedrijven – geleid tot meer transparantie en grip op hun gegevenshuishouding. Ook heeft de toezichthouder inmiddels voldoende armslag. Maar er zijn ook knelpunten, waarvoor de werkgevers aandacht vragen bij de politiek.
Complexe voorschriften en vage normen
Een jaar na de inwerkingtreding van de wet blijkt dat de zeer complexe voorschriften en de vage normen – ook na inspanningen met hulp van branches, het ministerie en de Autoriteit Persoonsgegevens – niet eenvoudig toe te passen zijn. Ondanks alle moeite kunnen VNO-NCW en MKB-Nederland daarom niet anders concluderen dan dat er een te grote kloof bestaat tussen de uitvoerige en complexe AVG en de relatief eenvoudige en alledaagse verwerkingen van persoonsgegevens door het grootste deel van het mkb. Dit vergt aanpassing van de AVG, aldus de werkgevers.
Belemmering van privacy
De AVG en de uitleg daarvan door de toezichthouders bevatten onder andere enkele punten die de privacy eerder belemmeren dan bevorderen. Zo werkt de missie van de toezichthouder om in steeds meer gevallen toestemming te vereisen juist een laconieke houding bij consumenten in de hand. En leidt de verplichting om sectorale privacy-gedragscodes altijd vergezeld te laten gaan van een eigen interne toezichthouder juist tot minder van die – uit het oogpunt van de privacy zeer wenselijke – codes. Voor dit laatste punt is aanpassing van de AVG nodig.
Ook blijven ondernemers aanlopen tegen de onbalans tussen privacy en andere maatschappelijke belangen, zoals het tegengaan van ondermijning en fraude, veiligheid van werknemers of de mogelijkheid tot innovatie. Dit knelpunt is grotendeels op te lossen binnen het kader van de bestaande AVG en vergt aanpassingen in de uitvoeringswet door het kabinet en in de interpretatie van de wet door de AP, aldus VNO-NCW en MKB Nederland, die de Kamer vragen om de lopende evaluatie van de UAVG en de evaluatie van de AVG in Brussel in 2020 aan te grijpen om vorenstaande punten te helpen oplossen.
Kloof AVG en mkb te groot
De AVG is bedoeld om gebruik van persoonsgegevens in het tijdperk van big data en andere nieuwe technologie te borgen én de regels daarvoor in de EU te harmoniseren tot één digitale interne markt. Een doelstelling waar het bedrijfsleven ferm achter staat. Het resultaat van de Brusselse onderhandelingen is echter een zeer uitvoerige, complexe wet met veel vage normen, die ondernemers – van klein tot groot – moeten interpreteren en naleven. Invoering van deze wet was voor grotere ondernemingen al een enorme opgave en alleen mogelijk door daar veel mensen en middelen op in te zetten. Het volledig doorgronden en goed implementeren van de wet voor het kleinere mkb is volgens VNO-NCW echter bijna onmogelijk. Dat leidt tot allerlei implementaties van, onbedoeld, te weinig actie tot juist ‘better safe than sorry’ en alles daar tussenin. Zo worden bijvoorbeeld veel dataverwerkingsovereenkomsten opgesteld tussen partijen die dat helemaal niet hoeven. Ook doen organisaties waarschijnlijk meer tijdrovende datalekmeldingen dan zou hoeven, omdat uitzoeken of de wet nu wel of geen melding voorschrijft nóg meer tijd kost of omdat ze liever maar aan de veilige kant zitten.
Vrijstellingsbesluit
Ook wordt vaak aan klanten of relaties toestemming gevraagd voor het gebruiken van gegevens, terwijl dit helemaal niet altijd nodig is.
VNO-NCW en MKB-Nederland pleiten daarom bij de evaluatie van de AVG in 2020 voor een andere benadering van dat deel van het mkb dat geen risicovolle dingen met persoonsgegevens doet en waar ook voor de invoering van de AVG eigenlijk niets mis ging. Daarbij zou bijvoorbeeld gebruik kunnen worden gemaakt van het zogeheten Nederlandse ‘Vrijstellingsbesluit’ uit 20011, dat toen al eenvoudige en doorsnee verwerkingen van persoonsgegevens (het gros van de verwerkingen bij het mkb) uitzonderde van melding bij de autoriteiten. Tot die tijd vraagt VNO-NCW aan de AP om net zoals de Tweede Kamer begin 2018 deed, het mkb te ontzien en duidelijk uit te spreken waar (toezichts-)prioriteiten liggen.
Belemmering van privacy
Volgens VNO-NCW en MKB Nederland belemmeren de verplichtingen in de AVG de privacy in plaats van deze te bevorderen. De toezichthouder AP lijkt op een missie om bedrijven voor steeds meer gegevensverwerkingen toestemming te laten vragen. Dat resulteert in vaker klikken zoals dat dagelijks bij cookiebanners wordt ervaren. Die toestemming wordt daardoor steeds meer achteloos gegeven en verliest daarmee aan waarde. Dat leidt ertoe dat consumenten ook voor gebruik van gegevens die wél risicovol kunnen zijn makkelijker op ‘OK’ klikken. Een tweede punt is dat de AVG privacygedragscodes lijkt te ontmoedigen. Deze codes – opgesteld door bijvoorbeeld brancheorganisaties of beroepsgroepen – werken als leidraad om bedrijven in die sectoren houvast te bieden, laten zien hoe deze met persoonsgegevens om moeten gaan en hebben bovendien een normerende werking.
De AVG stelt nu echter dat opstellers van zo’n gedragscode (bijvoorbeeld een branchevereniging) ook zelf een toezichthouder moeten instellen om de code te handhaven. Die toezichthouder zou bovendien ook beboet moeten kunnen worden wanneer die zijn werk niet goed doet. Hierdoor twijfelen sectoren nu om het goed werkende instrument ‘gedragscode’ te continueren. Want dan dient een dure toezichthouder te worden aangesteld of extern aangetrokken. En wie draagt de last van een eventuele boete?
Bedrijven en privacy zijn gebaat bij gedragscodes. VNO-NCW en MKB Nederland vragen de Tweede Kamer dan ook om in Brussel te pleiten voor het loslaten van de eis van een toezichthouder op een gedragscode.
Belemmering van veiligheid en fraudepreventie
De AVG uitvoeringswet (UAVG) en de soms te strikte interpretatie daarvan door de AP leiden ertoe dat ondernemers in de knel komen met het creëren van een veilige (werk)omgeving of fraudepreventie.
Zo sluit de AVG het weliswaar niet uit dat lidstaten werknemers in gevaarlijke sectoren zouden kunnen testen op alcohol- en drugs, maar heeft Nederland dat nog niet in de wet opgenomen. Dat knelt in gevaarlijke sectoren zoals de BZRO bedrijven (chemische stoffen), maar ook bij andere bedrijven met hoge risico’s voor de veiligheid van collega’s, milieu of omwonenden. Een tweede voorbeeld is de bestrijding van ondermijning en fraude: de jaarlijkse kosten hiervan lopen in de miljarden, om nog te zwijgen over het persoonlijke leed dat deze criminele activiteiten met zich meebrengen.
Cross-sectoraal frauderegister
Bedrijven mogen vaak binnen een sector wel een register van fraudeurs bijhouden, maar wanneer fraudeurs over sectorgrenzen heen gaan opereren, verdwijnen zij van de radar en kunnen zij opnieuw grote schade toebrengen in een andere branche. Terwijl in Groot-Brittannië een dergelijk register al jaren gemeengoed is, komt het in Nederland niet van de grond. VNO-NCW en MKB-Nederland vragen de toezichthouder om aan te geven onder welke voorwaarden een dergelijk cross sectoraal frauderegister mogelijk is. Ze pleiten dus voor een betere balans tussen diverse publieke belangen en het privacybelang. Dat geldt in de toekomst ook voor de ontwikkeling van slimme mobiliteitsoplossingen of betere zorg door datadelen. Het mag niet zo zijn dat de AVG of de AP dergelijke ontwikkelingen in de toekomst nodeloos blokkeert, aldus de brancheorganisaties.