De EU wil haar burgers beschermen tegen datamisbruik. Het accent van de verordening ligt op de uitersten, wat de uitvoering bijna onmogelijk maakt.
De Algemene Verordening Gegevensbescherming (AVG) is de spreekwoordelijke ‘Pain in the …’ van het Europese bedrijfsleven die 25 mei van kracht wordt. ‘Je mag geen persoonsgegevens verwerken, tenzij’, zo luidt de grondslag van de verordening.
Het is een poging van Brussel om ervoor te zorgen dat burgers, in hun hoedanigheid van consument, enige controle houden over hun persoonsgegevens. ‘Het idee is goed, maar de praktijk is dat de AVG ook is gemaakt voor uiterste gevallen. Dat betekent dat alles onder een heel strenge norm valt, waardoor de wet in de praktijk heel moeilijk uit te voeren is’, zegt Elze ’t Hart, privacyadvocaat van Van Benthem & Keulen.
Het tapen van klantgesprekken
In de financiële sector speelt de weerbarstige uitvoerbaarheid niet meer dan elders in het bedrijfsleven, maar de complexiteit van de werking van de AVG is wel extra groot. Denk aan de uitwisseling van persoonsgegevens tussen verzekeraars en hun intermediair. Haar (half)broer Frank ’t Hart, gespecialiseerd in financieel recht, maakt aan de hand van een voorbeeld duidelijk waar rechtsgebieden tegen elkaar aan schuren.
Hij noemt het voorbeeld van een beleggingsonderneming die onder EU-richtlijn Mifid II verantwoordelijk is een klantgesprek te tapen. Stel dat de beleggingsonderneming en de klant telefonisch met elkaar bespreken of in bepaalde risicovolle producten belegd zal worden. De beleggingsonderneming raadt de klant dat af gelet op zijn risicoprofiel. De klant wil toch in deze producten beleggen en geeft opdracht om – tegen het advies in – de effectenorders door te voeren. Ook vertelt de klant tijdens dat gesprek dat hij midden in een ‘dure’ echtscheiding zit.
Privé-gedeelte van het gesprek
Volgens privacyadvocaat Elze ’t Hart dient vooraf een duidelijk doel te worden vastgesteld voor het opnemen van het gesprek: ‘Als privé-informatie wordt opgenomen ter uitvoering van een wettelijke verplichting is dat toegestaan. Het privégedeelte van het gesprek mag door de beleggingsonderneming niet zomaar voor een ander doeleinde worden gebruikt.’
Maar volgens Frank ‘t Hart kan daar mogelijk aanleiding voor zijn. ‘De informatie die hij terloops krijgt, zou de beleggingsonderneming er juist toe verplichten om de klant te waarschuwen. Als deze informatie hiervoor niet gebruikt wordt, dan kan de beleggingsonderneming doelwit zijn van een civiele claim. Het feit dat sprake is van een echtscheiding met financiële consequenties, is relevant voor de dienstverlening (zorgplicht).’
Als de dood voor de Autoriteit
Het is in de praktijk niet altijd duidelijk of privé-informatie relevant is of niet. ‘De werking van de AVG is nog erg onduidelijk, maar organisaties durven meestal niet te procederen tegen de Autoriteit Persoonsgegevens. Zij zijn als de dood dat je dan te boek komt te staan als een bedrijf dat zijn privacy niet op orde heeft. Dat is een slechte zaak, want hierdoor bepaalt uiteindelijk niet de rechter maar de Autoriteit de norm’, zegt Elze ’t Hart.
In de praktijk beperkt de Autoriteit zich vaak tot een publicatie dat je je niet aan de AVG houdt. Tegen enkel die constatering kan je volgens haar geen bezwaar aantekenen. ‘De AVG is heel streng en als iedereen zich er volledig aan zou houden, zou de samenleving niet meer kunnen functioneren’, stelt Elze ‘t Hart.