Al meer dan tien jaar schrijft hij elke werkdag een weblog. De onderwerpen die ICT-jurist Arnoud Engelfriet aansnijdt zijn heel divers: „Mag de Belastingdienst op je sociale media kijken om je aangiften te controleren?” „Mag Rijkswaterstaat je flitsen en dan een enquête toesturen?” „Ik publiceer sinds 2007 dagelijks op mijn website iusmentis.com een stukje over internetrecht”, zegt Engelfriet. „Over vragen van lezers of over de actualiteit. Intussen heb ik een aardige schare met fans en trouwe lezers.”

Wat heeft een half jaar AVG opgeleverd?

„De AVG staat bij iedereen op de agenda, dat is mooi. Veel bedrijven hebben een project georganiseerd om 25 mei dit jaar klaar te zijn. Bij de meesten is dat redelijk gelukt. Er is een verwerkingsregister opgezet, er zijn verwerkersovereenkomsten gesloten, privacyverklaringen zijn herschreven. En dan denk je: we zijn klaar. We hebben het huis verbouwd, het dak ligt erop, de regenbui komt eraan, we kunnen de luiken dichtdoen. Maar de AVG is geen regenbui, ze is een blijvende verandering.”

Wat doen bedrijven op dit moment?

„Je ziet bedrijven die op de oude voet verder gaan. Ze hebben alleen een soort AVG-raampje voor hun bestaande werkwijze gezet. Alsof je een lekkend dak hebt en zegt: we hebben nu een goede emmer.

Maar na een half jaar zie ik de vragen komen. Een bedrijf heeft een fotoarchief en wil een jubileumboek uitgeven: mogen die archieffoto’s dan worden gebruikt? Scholen vragen zich in de aanloop naar Sinterklaas en Kerst af: mogen we ouders foto’s laten maken op school? De AVG is geen eenmalig project, ze vraagt om een andere manier van denken. Het gaat veel meer om een normwijziging dan alleen om het inrichten procedures.”

Wie lopen er op de troepen vooruit en gaan te hard?

„Ik merk vaak dat mensen denken: nu moeten we óveral toestemming voor vragen. En dan gaat men voor van alles en nog wat toestemming vragen. Vooral kleinere organisaties en scholen zijn daar een voorbeeld van. Scholen hebben vaak geen bedrijfsjurist die de wet erbij pakt en kijkt hoe het moet. Dan krijg je dus scholen die tegen de ouders zeggen: wilt u toestemming geven om uw zoon of dochter op de bellijst te zetten? Als school werk je jezelf op die manier in de nesten. Want als een ouder de toestemming weigert, kun je de bellijst niet meer maken.”

Wat is de oplossing?

„Als je met de AVG werkt, moet je jezelf altijd afvragen: welke wettelijke grondslag ga ik gebruiken voor het verwerken van persoonsgegevens? Toestemming van de betrokkene vragen is één van de grondslagen. Veel mensen weten niet dat er nóg vijf grondslagen zijn. Zo heb je ook het eigen gerechtvaardigd belang. Dan zeg je: ik heb een goede reden om deze persoonsgegevens te verwerken, en ik heb rekening gehouden met de privacy. Deze grondslag wordt véél te weinig gebruikt.

Een andere grondslag is het contract dat je met iemand hebt. Als je daarvoor persoonsgegevens nodig hebt, mag je die gewoon gebruiken. Ik zie webwinkels die zeggen: u plaatst een bestelling bij ons, en dan moet u een vinkje zetten, ”ik ga akkoord dat mijn persoonsgegevens voor deze bestelling worden gebruikt”. Dat is complete onzin, want die gegevens zijn nodig om de bestelling uit te voeren. Dus heb je daar al een grondslag voor, en is toestemming vragen niet meer aan de orde. Ook als de wet bepaalde verplichtingen oplegt, hoef je geen toestemming aan de betrokkene te vragen.”

Over het maken van foto’s is veel gedoe geweest op scholen. Zegt u: toestemmingsformulieren zijn niet nodig als je naar die andere wettelijke grondslagen gaat kijken?

„Veel mensen denken: fotograferen mag alleen met toestemming van de persoon die je op de foto zet. Ik kom die gedachte tegen bij persfotografen en sportfotografen, bij scholengemeenschappen en particulieren. Op een buurtfeest maakt een van de ouders een leuke foto van de anderen. Stappen er drie ouders op hem af en zeggen: dat mag niet van de privacywet, dat moet je eerst vragen. Dat soort praktijken zijn erg raar.

De AVG biedt een aantal routes waar weinig naar wordt gekeken – de andere wettelijke grondslagen die ik net noemde. Als je bijvoorbeeld als school zegt: ik heb een maatschappelijk aanvaard belang om foto’s te maken en te gebruiken, dan mag dat. Wel moet je nadenken over de privacy van de gefotografeerden, en zo mogelijk een recht van bezwaar erbij betrekken.”

Wie moeten zich terecht zorgen maken over de AVG?

„Grote marketingorganisaties moeten zich zorgen maken. Bij marketing pakt een belangenafweging bijna altijd uit in het voordeel van de consument. Als jij als consument zegt: ik wil niet met deze marketing worden geconfronteerd, dan moet dat ophouden. Ook kredietorganisaties als het BKR hebben een groot probleem. De Correspondent heeft een tijdje geleden onderzoek naar kredietorganisaties gedaan. Ze verzamelen informatie uit allerlei bronnen, melden niet hoe ze eraan komen, en zeggen dan, op onnavolgbare wijze: deze meneer is niet goed voor z’n geld. Dat mag niet van de AVG.”

Is de AVG voor eenpitters en stichtingen niet een te zware belasting?

„Ik denk dat stichtingen en kleine zelfstandigen de privacywet moeilijker maken dan ze is. Je moet als klein bedrijf een register hebben van al je verwerkingen van persoonsgegevens. In dat register zet je: wat doe ik precies, bijvoorbeeld: ik heb een nieuwsbrief. Wat heb ik daarvoor nodig: emailadressen. Wat doe ik ermee: ik stuur een keer per week nieuwtjes. En er moet nog bij komen te staan dat je mensen van de lijst haalt zodra ze dat vragen. Daarmee heb je een registratie van je nieuwsbrief die je kunt opnemen in het register. De AVG in het klein is niet zo moeilijk. Wel moet je er periodiek even voor gaan zitten.”

Hoe doet Nederland het in vergelijking met andere EU-landen?

„Ik denk dat Nederland niet voor- of achterloopt. Mensen roepen wel eens: Nederland is het strengste jongetje van de klas. Onzin, vind ik: Nederland is een goede middenmoter. Wees voorzichtig als mensen kritiek op de AVG geven. Vaak bedoelen ze: ik heb geen zin om me aan te passen. Op sommige punten is Nederland zelfs soepel. De AVG laat over biometrie –denk aan het afnemen van vingerafdrukken– ruimte aan lidstaten om zelf regels te stellen. Nederland is daarin soepeler dan Duitsland.”

Hoe kijkt u aan tegen de EU-wetgeving over persoonsgegevens in mondiaal perspectief?

„De AVG komt tegemoet aan een mondiale behoefte. Je ziet dat de recent aangenomen Californische wet gemodelleerd is naar de AVG. En vergeet niet dat de EU zo groot is dat multinationals zeggen: we gaan deze wet gelijk maar wereldwijd invoeren. Bedrijven die leveren aan EU-bedrijven, krijgen de eis: jij, bedrijf in India, moet je aan de AVG houden, anders mag je geen helpdesk zijn voor mijn klanten in Duitsland.”

Toch gaat een groot land als China rechtstreeks tegen de AVG in.

„China is een bijzonder voorbeeld. Het heeft ervoor gekozen op een andere manier met de persoonsgegevens van zijn burgers om te gaan. Denk aan het fameuze social-credit-systeem, waarmee burgers op basis van gezichtsherkenning punten krijgen toegekend. China kan dit doen binnen haar sterk gecentraliseerde maatschappij. Veel buurlanden van China houden er een andere opvatting op na.

Ook de VS kent traditioneel een bedrijfsleven dat alles wil kunnen doen met de data van burgers. In z’n algemeenheid denk ik echter dat het AVG-regime zich gaat verspreiden, en dat zowel China als de VS tegen de mondiale trend ingaan.”

Moet een gemiddelde burger zich zorgen maken over privacy?

„Het is goed als burgers kritisch zijn over de vraag wat er met hun persoonsgegevens gebeurt. De AVG biedt daarvoor de nodige instrumenten: het recht op inzage, op correctie, op verwijdering. Het zou goed zijn als burgers daar gebruik van maken. Ben je afgewezen bij een sollicitatie en vind je dat wel heel toevallig? Vraag naar de reden. Het klassieke model van Big Data –we halen alle gegevens naar binnen en zien wel wat we er dan mee doen– kan niet meer. Dat is intussen algemeen aanvaard. Een bedrijf zal moeten uitleggen hoe hij aan data komt en wat hij ermee gaat doen.”

AVG versterkt privacyrechten

Een half jaar geleden trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Dit is een privacywet die binnen de gehele Europese Unie geldt. Mensen hebben meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun persoonsgegevens.

Een voorbeeld is het zogeheten „recht op dataportabiliteit”. Onder bepaalde voorwaarden kun je van een bedrijf of organisatie je persoonsgegevens in een standaardformaat opvragen. Zo kun je deze gegevens makkelijk doorgeven aan een andere leverancier van dezelfde dienst.

De AVG heeft de verplichtingen voor bedrijven en organisaties aangescherpt. Zij moeten kunnen aantonen dat ze zich aan de privacyregels houden: een verantwoordingsplicht. Met documenten moeten ze kunnen laten zien dat ze de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat je als bedrijf niet meer persoonsgegevens verzamelt en verwerkt dan echt nodig is. De AVG geldt voor multinationals maar ook voor stichtingen, mkb’ers en zzp’ers.

Arnoud Engelfriet en bureau ICTRecht

Arnoud Engelfriet (43) is één van de twee partners van adviesbureau ICTRecht. „We zijn gespecialiseerd in internetrecht en privacy, maar ook in auteursrecht, de vrijheid van meningsuiting en verwante onderwerpen”, licht hij toe. „Op deze gebieden krijgen we veel vragen van bedrijven, kerken en particulieren.” ICTRecht begon in 2008 met twee personen. Intussen zijn er meer dan veertig mensen in dienst. ICTRecht heeft vestigingen in Amsterdam, Groningen en Brussel. Het bedrijf behoorde in 2018 tot de finalisten van de FD Gazellen Award voor snelstgroeiende ondernemingen.

ICTRecht richt zich ook op de automatisering van juridische dienstverlening. Dochterbedrijf JuriBlox heeft tools ontwikkeld waarmee bedrijven makkelijk standaardcontracten kunnen samenstellen. Engelfriet: „Je hoeft nu niet meer één contractmodel te hebben, om je dan af te vragen: hoe zet ik hier een leaseauto in? Je loopt gewoon tien vragen af, en vul je ”ja” in bij leaseauto dan vraagt het programma om het aantal privékilometers. En dan rolt er een kant en klaar contract uit.”

ictrecht.nl