Privacybescherming (in coronatijd): met de AVG alleen komen we er niet!

#privacy #AVG #corona

Blog 20 mei 2020 3 min. lezen
DPA-Professionals-privacy-informatiebeveiliging-blog-AVG-fadoua-sahraou

Deze blog is geschreven door senior privacy officer Fadoua Sahraou.

Ik droom van een wereld waarin organisaties privacyvraagstukken vanuit meerdere invalshoeken dan alleen vanuit AVG-perspectief benaderen. Met de komst van de AVG is er tot mijn grote genoegen veel aandacht ontstaan voor privacy. Soms bekruipt mij echter het gevoel dat organisaties de eisen die voortvloeien uit de AVG behandelen alsof deze in een vacuüm zijn ontstaan. Ik zie hoe organisaties driftig bezig zijn met AVG-compliance en voorbij gaan aan de bedoeling van de wet. Ook zie ik dagelijks hoe organisaties als gevolg hiervan enorm worstelen met privacyvraagstukken.

Als interim privacy professional heb ik het voorrecht dat ik een ruimer privacygedachtegoed binnen verschillende organisaties kan verspreiden. Ik beschouw het als mijn verantwoordelijkheid om organisaties het grotere plaatje mee te geven. De enige manier om tot evenwichtige afwegingen te komen, meen ik, is door eerst te begrijpen hoe de AVG zich verhoudt tot privacy in de ruimste zin van het woord. In dit blog sta ik dan ook graag stil bij de volgende vraag: Wat is privacy?

Wat is privacy?

Privacy is een filosofisch concept. Het is niet tastbaar. Pas als de wc-deur er niet is, merk je het. Privacy is iets dat ontstaat in de samenleving, het is iets dat we elkaar gunnen en dat we onszelf toe-eigenen. Privacy stelt ons in staat om zelfbeschikking uit te oefenen. Privacy is iets sociaals. Het is iets waarover we onderhandelen met elkaar. De uitkomsten van deze sociale onderhandeling worden door allerlei factoren bepaald. De invulling van privacy verschilt daarom in meer of mindere mate per land. Maar de behoefte aan privacy is universeel. Een verschil in privacyperceptie wordt onder andere veroorzaakt door culturele en sociale factoren. Zo hecht het ene land meer waarde aan collectivisme dan aan individualisme. Daarnaast kan de mate van corruptie en bedrog in een land maken dat men eerder bereid is om meer privacy in te leveren in ruil voor meer veiligheid. Privacy is dan ook per definitie een kwestie van interpretatie. Alle interpretaties zijn verdedigbaar. Niettemin zijn in mijn beleving sommige interpretaties beter onderbouwd dan andere.

Privacy in het Nederlandse recht

De AVG en privacy worden vaak in één adem genoemd. Hoewel de AVG inderdaad onze privacy beschermt, ziet deze bescherming slechts op één dimensie van onze privacy, namelijk onze informationele privacy. Naast informationele privacy omvat privacy veel andere dimensies. In dit blog beperk ik me tot de dimensies informationele privacy, ruimtelijke privacy en lichamelijke privacy. Om deze privacydimensies te beschermen, worden in het Nederlandse recht onder andere de volgende specifieke juridische termen gebruikt: ‘bescherming van persoonsgegevens’, ‘huisrecht’ en het ‘recht op onaantastbaarheid van het lichaam’. Het is in dit kader goed om te beseffen dat privacy zelf geen juridisch begrip is. Het recht fungeert in dezen slechts als hulpmiddel om privacy te kunnen beschermen. Het recht reflecteert zogezegd de uitkomsten van onze sociale onderhandeling.

Versmeltende privacydimensies

Zoals je ziet, worden de dimensies als het ware opgeknipt binnen het recht. Privacy beschouwen als aparte, opzichzelfstaande dimensies werkt steeds minder goed in de huidige samenleving. Door alle technologie die we vandaag gebruiken, versmelten deze dimensies steeds vaker en sneller zonder dat we daar erg in hebben. De technologie biedt enerzijds mooie kansen, maar brengt anderzijds ook (nieuwe) privacyrisico’s met zich mee. Om tot een passend privacybeschermingsniveau te komen, is het problematisch wanneer organisaties de huidige privacyvraagstukken louter vanuit een AVG-perspectief benaderen. Informationele privacy staat namelijk niet los van de andere privacydimensies. Privacy heeft weliswaar vaak een aspect van persoonsgegevens, maar bestaat meestal ook uit een aspect dat niet kan worden gereduceerd tot persoonsgegevens.

Coronavirus

Deze versmelting van verschillende privacydimensies is iets wat al jaren gaande is. Echter sinds het coronavirus ons land heeft bereikt, ben ik me er nog bewuster van. Dit illustreer ik aan de hand van twee voorbeelden. Nu thuiswerken door de coronamaatregelen de norm is geworden, rijzen er meer dan voorheen privacyvragen over het gebruik van vergaderapps. Wanneer we de privacyvriendelijkheid van apps zoals Zoom, Teams of Webex beoordelen, dienen we niet alleen het AVG-perspectief mee te nemen, maar ook de ruimtelijke dimensie van privacy. We bepalen weliswaar nog steeds zelf wie we fysiek toegang verlenen tot onze woning, maar realiseren wij voldoende wie we digitaal in huis halen als we deze apps gebruiken? En zelfs als we ons dat realiseren, voelen we ons voldoende vrij om ons daartegen te verzetten? Bij de vraag of werkgevers de lichaamstemperatuur mogen meten van werknemers, kan het weliswaar zo zijn dat de AVG niet van toepassing is. Dit omdat de temperatuur op geen enkele wijze geregistreerd wordt en daarmee geen persoonsgegevens worden verwerkt. Maar dat neemt niet weg dat de inbreuk op iemands privacy alsnog groot kan zijn. Dit raakt de lichamelijke privacydimensie. Dit is maar een kleine greep uit tal van voorbeelden waar we vandaag de dag mee worden geconfronteerd en die de privacydimensie die de AVG wenst te beschermen overstijgt.

Kijk verder dan de AVG

Ik wil ervoor waken dat organisaties enkel het AVG-perspectief meenemen in het benaderen van hun privacyvraagstukken. Daarmee doen ze de mens, de samenleving en de diversiteit aan privacydimensies tekort. Ik pleit dan ook voor een benadering van privacy waarbij alle relevante dimensies en relevante juridische, sociale en ethische perspectieven van privacy in acht worden genomen. Op deze manier komen organisaties tot de bescherming van onze gehele privacy zoals deze in de basis is bedoeld.

Meer weten?

In een reeks blogs vertellen de interim privacy en security counsels van DPA Professionals je meer over de AVG. Lees ook de vorige blog van Sebastiaan Moll:
4 tips voor een juist en up-to-date verwerkingsregister.
Meer weten over onze privacy & informatiebeveiliging dienstverlening? Bekijk de mogelijkheden binnen DPA.

Neem contact op met Paul

Business unit manager Stuur een bericht