Half jaar AVG in de verkeerswereld: valkuilen en onnodige angst
De Algemene Verordening Gegevensbescherming is nu een half jaar van toepassing. De nieuwe privacywet vraagt van verkeerskundige onderzoeksbureaus wel het een en ander, vertelt Anouska Weel, juriste bij DTV Consultants. Onder meer het opstellen van een verwerkersovereenkomst met opdrachtgevers over alle privacygerelateerde zaken. De bureaus moeten ook goed kijken waar en hoe hun eventuele onderaannemers alle privacygevoelige gegevens verwerken. Misvattingen ziet ze ook – vaak uit angst. Zo staan beveiligingseisen van opdrachtgevers niet altijd in verhouding met het type onderzoek.
De relatie tussen verkeersonderzoek en privacy is misschien niet voor iedereen gelijk duidelijk, erkent Weel. Maar de link is volgens haar gauw gevonden. “Wij als DTV Consultants doen met enige regelmaat verkeersstudies waarvoor we camera’s ophangen of een scanauto laten rondrijden. Dan raak je al snel aan het thema privacy.”
Maar de gevolgen van de nieuwe privacywet voor dit type verkeersonderzoek? Weel kwam een maand voordat de wet in werking trad bij DTV binnen en zag meteen dat er veel vragen waren. “Dat was het moment dat iedereen dacht: ja, die AVG, daar moeten we iets mee, maar wat precies? Toen ben ik er in gedoken – net als iedere bedrijfsjurist in dit land.”
Simpel
Weel, de nuchterheid zelve, benadrukt dat de AVG niet wezenlijk verschilt met zijn voorganger, de Wet Bescherming Persoonsgegevens. “Je moet administratief meer regelen en diegene die op beeld komt, wiens privacy wordt aangetast dus, heeft meer rechten gekregen. Diegene heeft het recht om zijn of haar gegevens in te zien, aan te passen of te laten verwijderen. Dat zijn de twee grote verschillen.”
Dat het zo simpel is, dat ziet volgens haar niet iedereen. “Ik denk dat iedereen net iets te gespannen is en vergeet dat de wetgeving altijd is geweest wat die geweest is. Daarbij: de Autoriteit Bescherming Persoonsgegevens heeft gezegd het eerste half jaar vooral te focussen op iedereen helpen voldoen aan de wetgeving. Ze weten dat niet iedereen de nieuwe regels goed begrijpt en komen echt niet volgende week aan de deur om 10 miljoen euro boete uit te delen. Dat gaat niet gebeuren.”
Hele boekwerken
Wat die administratie betreft: je moet als onderzoeksbureau een register bijhouden met wat voor persoonsgegevens je werkt, waarom, hoe je de data beveiligt en wanneer je alles weer weggooit. Verder zul je met je opdrachtgever een aparte overeenkomst moeten sluiten waarin je uitgebreid uitlegt hoe je met je data omgaat en wie welke verantwoordelijkheid heeft.
Maar veel opdrachtgevers komen met hele boekwerken van dertig pagina’s
Beide maken kost volgens Weel niet veel tijd. Voor die overeenkomsten hebben zij en haar collega’s zelfs sjabloons gemaakt. Opdrachtgevers hebben ook vaak een sjabloon en hier ontstaat onduidelijkheid, ziet ze. “Die van ons is een paginaatje of acht dik en dan heb je het wel. Maar veel opdrachtgevers komen met hele boekwerken van dertig pagina’s. Die hebben dan elke maatregel erin gestopt die ze konden vinden. En dat snap ik op zich wel: zij doen heel veel projecten en ook hele grootschalige, maar ze maken geen onderscheid.”
Jaarlijks?
In die overeenkomsten treft Weel regelmatig onredelijke eisen. “Er staan dingen in waar wij niet aan kunnen of zelfs hoeven te voldoen omdat ze in geen verhouding staan tot het type opdracht dat we uitvoeren.” Dat de opdrachtgever jaarlijks recht heeft om te komen auditeren, noemt ze als voorbeeld. “Jaarlijks? Denk ik dan. Wij hangen maximaal een week een camera op een kruispunt en wat wil je dat we je dan jaarlijks komen vertellen? Kom je echt langs? Of schrijf je dat alleen op?”
Ze krijg je met enige regelmaat hele discussies met de opdrachtgever, in de persoon van een jurist of functionaris gegevensbescherming. “En dan probeer ik uit te leggen: ja het moet goed geregeld worden, en dat vinden wij ook erg belangrijk, maar het moet wel in verhouding staan tot de impact op iemand privacy.”
Ook buiten Nederland
Weel vertelt dat ze ook wel eens overeenkomsten krijgt waarin geëist wordt dat DTV Consultants geen persoonsgegevens buiten Nederland laat verwerken. Dat is raar, zegt ze, want de AVG is Europese wetgeving. “Dat betekent dat alle landen in de EU aan dezelfde regels moeten voldoen en dat je je persoonsgegevens altijd binnen de EU mag laten verwerken.” Daarbij, vult ze aan: de Europese Commissie heeft een lijst opgesteld met landen buiten de EU die dezelfde maatregelen toepassen en waar je je gegevens dus óók kunt laten verwerken.
Tekst gaat verder onder de foto
Goed weten in welk land de persoonsgegevens verwerkt worden, is niet altijd makkelijk, zegt ze. Wat als je met een buitenlands computerprogramma werkt? “Als dat ergens op een online server gebeurt, heb je wel een uitdaging. Want dan staat dat ergens online en zouden in theorie mensen van het softwarebedrijf erbij kunnen. Maar: als jij een los softwareprogramma hebt en dat op je eigen server draait, dan is dat risico er nagenoeg niet.”
Concrete termijnen
En wat als je met onderaannemers werkt? “Er zijn partijen die hun beelden buiten Europa laten verwerken – soms zelfs in India bijvoorbeeld. Dus wij moeten goed opletten bij de bedrijven waar wij mee samenwerken.” Zij en haar collega’s hebben al hun onderaannemers tegen het licht gehouden en ze benadrukt dat deze partijen hun data alleen in goedgekeurde landen laten verwerken. Deden ze dat niet, dan hadden die bedrijven dat moeten veranderen. Of DTV Consultants zou afscheid van ze genomen hebben.
Je ziet dat veel organisaties termijnen verzinnen
Bewaartermijnen – nog zo’n topic waar veel verkeerd gaat, weet Weel. “Je ziet dat veel organisaties termijnen verzinnen. In de AVG zelf staan namelijk geen termijnen. Maar: er is besloten dat tot het moment dat die er wel zijn, je terug moet kijken in de oude Wet Bescherming Persoonsgegevens. Daar staan wel hele concrete termijnen genoemd. En die moet je dus ook toepassen.”
Te zwaar en te duur
Wat ook opletten is: je hebt volgens Weel een goede juridische grondslag nodig om iemands gegevens te mogen verzamelen. De wet zegt namelijk dat je alleen persoonsgegevens mag verzamelen als dat noodzakelijk is voor een bepaald doeleinde. Die noodzaak moet onder andere blijken uit de wettelijke grondslag. In de wet staan zes ‘redenen’ opgesomd, zegt ze. “Een ervan is dat je toestemming hebt van de betreffende persoon. Maar wat veel partijen vergeten: die persoon kan op elk moment roepen ‘ik wil al mijn gegevens laten verwijderen’. En wat doe je dan? Weet je nog waar al die gegevens staan? Kun je ze nog wel verwijderen? Met andere woorden: toestemming is niet de meest handige grondslag.”
Maar al kun je alles nog zo goed administratief geregeld hebben, tegen paniek kun je niet gelijk op. Weel diept een recente ervaring op. “We moesten voor een grote gemeente een evaluatie uitvoeren, waarbij we camera’s gebruikten. De gemeente wilde in eerste instantie alle beelden na afloop van het onderzoek ontvangen, en dat alle verkeersdeelnemers onherkenbaar waren gemaakt. Ook moest het onderzoek groots worden aangekondigd. Het onherkenbaar maken bleek een te zware en dure maatregel. Er is uiteindelijk voor gekozen om de beelden na afloop van het onderzoek te vernietigen.”
Minder ingrijpend
Overigens ziet Weel bij DTV Consultants, maar ook bij andere onderzoeksbureaus, dat onderzoekers meer nadenken of het doel van het onderzoek de in te zetten middelen wel rechtvaardigt. “Je ziet meer bewustwording ontstaan. Er wordt nagedacht over vragen als ‘wat voor onderzoek willen we uitvoeren?’ en ‘wat moet daar uit komen?’ en ‘kan dat niet op een andere, minder ingrijpende manier?'”
En soms kan dat wel – maar niet altijd. “Ja je kunt iemand met een blocknoteje op pad sturen om auto’s te tellen. En dat doen we soms ook. Maar dat gaat niet lukken als je een megadruk kruispunt hebt waar van alle kanten verkeer komt. Dan mis je de helft. Dit soort zaken moet je dus constant afwegen.”
