Please select a page template in page properties.

Het doel van de AVG

De AVG gaat niet over privacy. Het woord ‘privacy’ komt slechts één keer voor in de AVG, namelijk als verwijzing naar een op de AVG aanvullende richtlijn van het Europees Parlement betreffende privacy. Maar wat is dan wel het doel van de AVG...?

De formele titel van de Algemene verordening gegevensbescherming (AVG) luidt als volgt:

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD 

Betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

De twee doelen van de AVG zijn dus: 

  • Het stimuleren van het vrije verkeer van gegevens, inclusief persoonsgegevens,
  • De bescherming van deze persoonsgegevens. 

De AVG geeft op een ‘techniekneutrale’ manier aan (vandaar het ‘algemene’ open-normenkarakter van de AVG) dat er rechten en verplichtingen gelden voor de verwerking van persoonsgegevens en beschrijft hierin rollen en bijbehorende verantwoordelijkheden. De AVG beschrijft hoe men deze rechten kan uitoefenen, hoe het toezicht hierop is geregeld en welke sancties er zijn. Een veelgehoorde uitspraak rondom de AVG is “dat er niks meer mag met persoonsgegevens.” Het tegenovergestelde is echter waar: door de principes uit de AVG goed te hanteren is er juist heel veel mogelijk, sterker nog, het vrije verkeer van persoonsgegevens is zelfs de bedoeling!

 

De onderzoeker en de AVG

Laten we dit eens bekijken vanuit het perspectief van een onderzoeker. In onderstaand voorbeeld zijn de mentale denkstappen omschreven die iedere onderzoeker idealiter maakt van 'AVG-compliant' zijn tot 'privacy als tweede natuur' omarmen.

In de spotlight


Privacy-maturity van een onderzoeker

Een onderzoeker en haar onderzoeksondersteuning die voor het eerst kennis maken met de AVG zullen ‘typisch’ vaak gericht zijn op het ‘AVG-compliant’ uitvoeren van het onderzoek. Logisch, want het veroorzaken van een onrechtmatigheid, bijvoorbeeld in de vorm van een datalek zorgt niet alleen voor reputatieschade van de onderzoeker, de onderzoeksgroep of de instelling, maar ook voor het mogelijk moeten stopzetten van het onderzoek. In deze fase ziet de onderzoeker de AVG vaak als een noodzakelijke externe verplichting, die voornamelijk extra werkzaamheden en kosten met zich meebrengt.

Na enkele onderzoeken wordt de risicogebaseerde logica van de AVG met geïdentificeerde risico’s en bijbehorende mitigerende maatregelen duidelijk. Dus wanneer voor bekende privacyrisico’s voor de onderzoeksdeelnemers eenmaal passende maatregelen zijn vastgesteld, dan zijn deze maatregelen passend in vergelijkbare situaties, afgezien van relevante ontwikkelingen in de techniek, die bijvoorbeeld om een heroverweging van de maatregelen vragen.

Meer en meer raakt de onderzoeker en de onderzoeksondersteuning bedreven in het praktisch en concreet toepassen van de juiste technische en organisatorische maatregelen met betrekking tot het beschermen van de persoonsgegevens. En daarmee kan de onderzoeker ook meer en meer ‘hoge risico’ onderzoeken doen. Onderzoeken waarin bijvoorbeeld ‘machine learning’, kunstmatige intelligentie of ‘big data’ een rol spelen. Of onderzoeken waarin kwetsbare doelgroepen onderwerp van onderzoek zijn.

Doordat privacy en de bescherming van persoonsgegevens voor de onderzoeker inmiddels een tweede natuur zijn, heeft deze onderzoeker een mate van volwassenheid bereikt die in deze snel veranderende maatschappij toegang biedt tot nieuwe mogelijkheden voor onderzoek. En zo wordt ‘privacy’ geen obstakel voor onderzoekers, maar een voorwaarde om innovatieve ‘high risk’ onderzoeken te doen.


Rechten en verplichtingen in de AVG

De AVG is goed samen te vatten via onderstaande afbeelding. Hier staan de rechten van een onderzoeksdeelnemer tegenover de verplichtingen van de onderzoeker, voor wat betreft verantwoorde omgang met persoonsgegevens en de passende bescherming daarvan.

De AVG is zoals gezegd een wet die gebaseerd is op principes. Het gaat daarbij steeds om het zoeken naar de twee doelstellingen uit de wet: 

  1. Het stimuleren van het vrije verkeer van persoonsgegevens;
  2. Het zo goed mogelijk beschermen van diezelfde persoonsgegevens.

Die afweging en de daaruit voortvloeiende maatregelen verschillen van onderzoek tot onderzoek. Het gaat om het maken van een redelijke inschatting van risico’s voor de onderzoeksdeelnemers, en de afweging van deze risico’s en het bepalen van de juiste, proportionele maatregelen om die risico’s in te perken. Bijvoorbeeld door niet meer persoonsgegevens te verzamelen dan noodzakelijk is voor het doel van het onderzoek. Daarbij kan een onderzoeker zichzelf vragen stellen als:

  • Welke (gevoelige) gegevens zou ik willen verzamelen van de onderzoeksdeelnemers?
  • Wat betekent het als een derde partij ongeoorloofd toegang tot deze data zou krijgen?
  • Wat voor kwaad zou iemand met deze persoonsgegevens kunnen doen?
  • Wat betekent het voor de betrokkenen als hun persoonsgegevens in de verkeerde handen vallen?

Er zijn veel voorbeelden te bedenken waarbij het zeer ernstig zou zijn als ongeoorloofden toegang tot bepaalde persoonsgegevens zouden krijgen, zoals onderzoeken waarbij interviews met pedofielen, oorlogsmisdadigers of coupplegers in een dictatuur, onderdeel uitmaken van de onderzoeksgegevens. Maar de meeste onderzoeken bevatten dit type gevoelige informatie helemaal niet, zodat de te nemen maatregelen ook navenant beperkter kunnen zijn.

Tenslotte kunnen onderzoeksdeelnemers ook schade ondervinden van stigmatisering en groepsonthulling. Bijvoorbeeld wanneer door publicatie van onderzoeksresultaten duidelijk wordt dat bij observatieonderzoek van vaders uit dorp X, waarbij de kwaliteit van de interactie met hun minderjarige kinderen is onderzocht, voor de meerderheid van deze vaders geldt dat er veel belangrijke verbeterpunten zijn voor deze interactie.

De AVG - geen absoluut recht

Maar let op: het recht op privacy is geen absoluut recht. Grond 4 in de AVG verwoordt dit als volgt:

De verwerking van persoonsgegevens moet ten dienste van de mens staan. 

Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. 

Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.

Hoewel privacy een fundamenteel mensenrecht is, kunnen in bepaalde contexten andere rechten dus zwaarder wegen. Bijvoorbeeld in het geval van een pandemie, zoals de Covid-19 crisis. In dat geval kan het belang van de volksgezondheid prevaleren boven het fundamentele recht op privacy, bijvoorbeeld doordat een overheid een bepaalde tracking-app voor coronabesmettingen verplicht stelt. Hiermee schaadt de overheid het recht op privacy, maar ten dienste van een (op dat moment) grotere prioriteit: de volksgezondheid. 

De AVG kan in dit voorbeeld wel als leidraad dienen om de tracking-app alsnog zo privacy-vriendelijk te ontwerpen, door ‘privacy’ al in het ontwerp van de app in te bouwen. Het doel zou daarbij zijn om te komen tot een ‘positive sum’, waarbij de privacy in de app goed geregeld is en men tegelijkertijd de volksgezondheid verhoogt. En wellicht dat vanuit het privacy standpunt blijkt dat een digitale app helemaal niet de beste oplossing is om mensen te registreren, maar dat het veiliger voor onze persoonsgegevens is om gewoon je naam en telefoonnummer op een papieren briefje te noteren bij ieder bezoek aan horeca of andere gelegenheden. 

De AVG is dus een belangrijke wet, maar niet in iedere context de belangrijkste wetgeving. Er zijn situaties waarbij andere belangen zwaarder wegen dan onze privacy, zoals de AVG zelf dus al expliciet in Grond 4 aangeeft.