Security Management: wat verandert er met de AVG?

25 mei 2018. Die datum zal in menig zakelijke agenda rood zijn omcirkeld. Want op die dag treedt de Algemene Verordening Gegevensbescherming (AVG) in werking en wordt de privacywetgeving in Nederland een stukje strenger. Wat verandert er? Vic Vermeulen, legal & riskmanager bij G4S, en Marcel Boekhorst, algemeen directeur van Signum Interfocus, werden hierover door Security Management bevraagd.

Diverse malen al heeft Vic Vermeulen extern advies ingewonnen over de nieuwe privacywetgeving – en diverse malen vertrok hij met gemengde gevoelens. “Wat mij opvalt, is het grote verschil in toon. Bij het ene advies- of trainingsbureau heerst een negatieve stemming. Op het moment dat dadelijk de AVG ingaat, mag je helemaal niks meer. Zodra je ook maar de onschuldigste klantgegevens vastlegt, komt de Autoriteit Persoonsgegevens langs en ben je de sigaar. Maar bij de volgende specialist hoor je een heel ander verhaal. Je moet gewoon zorgen dat je alles kunt rechtvaardigen, dan loopt het allemaal wel”.

Verwerk gegevens op een zorgvuldige wijze

Vermeulen is legal & riskmanager bij securitybedrijf G4S – en dus wilde hij graag weten wat hij door de komst van de AVG moest verwachten. “Wij hebben bijvoorbeeld enige tijd geworsteld met de zogenoemde verwerkingsovereenkomst. Daarin verklaart de partij die privacygevoelige gegevens verwerkt, dat hij dat op een zorgvuldige wijze zal doen.”

Let wel: dat laatste is volgens Vermeulen inderdaad belangrijk. “Stel dat wij onzorgvuldig zouden omspringen met de lijst van klanten die zijn aangesloten op onze alarmcentrale. En stel dat die lijst in handen komt van een bedrijf dat camera’s verkoopt. Dan beschikt dat bedrijf over de NAW-gegevens van mensen die al bij een alarmcentrale zijn aangesloten en die misschien ook belangstelling hebben voor een camera. Die kan hij ongevraagd mails gaan sturen – en dat moet je te allen tijde voorkomen.”

Verwerken persoonsgegevens als het primaire doel

Maar dan nog blijft de vraag: moet je dat voorkomen met een verwerkingsovereenkomst? “Het probleem was dat wij tienduizenden bedrijven in ons systeem hebben die zijn aangesloten op onze alarmcentrale”, zegt Vermeulen. “Van al die bedrijven beschikken wij over de NAW-gegevens, want als er een alarm gaat, moeten we weten waar het probleem speelt. Theoretisch gezien zouden we dus een verwerkingsovereenkomst moeten sluiten met ieder van die klanten.”

Maar in januari bleek dat niet nodig. Want toen verscheen de Handleiding Algemene Verordening Gegevensbescherming van het ministerie van Justitie en Veiligheid. Daarin wordt de nieuwe wet nader toegelicht. Vermeulen: “Het bleek dat zo’n verwerkingsovereenkomst alleen nodig is als het verwerken van die persoonsgegevens je primaire doel is – en dat is bij ons niet het geval. Wij zijn er immers niet op uit om adressen te verzamelen, maar alleen om bedrijven te beveiligen.”

Dat ligt anders voor recherchebureaus. Luister bijvoorbeeld naar Marcel Boekhorst, directeur van recherchebureau Signum Interfocus. “Het uitvoeren van feitenonderzoek en het onderzoeken van personen maakt dat we in meer of mindere mate inbreuk maken op grondrechten van de te onderzoeken persoon. Wij kunnen in e-mailboxen kijken, telefoongegevens achterhalen of mensen in kantoortijd observeren. Natuurlijk doen we dat in opdracht en kunnen we dat rechtvaardigen: medewerkers zijn ooit een arbeidsovereenkomst aangegaan en dus moeten ze zich netjes gedragen. Wij zorgen er wel voor dat de middelen die we inzetten, ook proportioneel zijn.”

Transparantie wordt belangrijker in AVG

Wat voor G4S niet gold, geldt voor Signum Interfocus dus wel: het verzamelen van persoonsgegevens is nodig voor de dagelijkse werkzaamheden. Toch ziet Boekhorst niet zoveel veranderen aan zijn werkwijze op zich. “Wij moesten ons altijd al houden aan de gedragscode van de Nederlandse Veiligheidsbranche. Hoogstens worden de spelregels anders uitgelegd en wordt er dadelijk strenger gecontroleerd. Daarnaast wordt transparantie belangrijker, evenals openheid over de reden waarom je persoonlijke gegevens verzamelt. De betrokkene heeft bijvoorbeeld recht op inzage in of rectificatie van deze gegevens. Om een en ander inzichtelijk te maken, moeten we een register opstellen van verwerkingsactiviteiten. ”

Een voorbeeld. Stel, iemand wordt verdacht van diefstal en daarom tijdens werktijd geobserveerd. “Dan kunnen we hem natuurlijk niet vooraf op de hoogte stellen”, zegt Boekhorst. “Maar we zijn dan wel verplicht om dat achteraf te doen. We leggen dan uit van welke feiten de betreffende medewerker werd verdacht, en wat de bevindingen zijn. Ook vertellen we wat we opslaan en hoe lang dat gebeurt – in principe is dat vijf jaar. Ten slotte geef ik aan of er externe partijen bij kunnen, bijvoorbeeld wanneer wij expertise inhuren.”

Zorgvuldig omgaan met gegevens van klanten – volgens Vermeulen is dat nog relatief simpel. “Wat wij vastleggen voor andere bedrijven valt in het niet bij wat we registreren over de eigen medewerkers. Neem alleen maar al die dossiers met sollicitaties. Zo’n sollicitatieformulier mag je maar een hele korte tijd bewaren. Maar wat gebeurt er in de praktijk? Alles wordt opgeslagen en bewaard. Wij pleiten voor een cultuuromslag. Je moet niet denken: waarom zou ik dit weggooien? Maar: waarom zou ik dit bewaren?”

En na 25 mei?

Een laatste vraag: wat zien Vermeulen en Boekhorst vanaf 25 mei veranderen? Boekhorst denkt dat bedrijven nog bewuster met data van anderen zullen omspringen. “Ze moeten immers duidelijker uitleggen waarom ze zaken bewaren. Ik ben benieuwd of er ook meer controle op zal komen – maar ik denk het wel. De Autoriteit Persoonsgegevens heeft hier zoveel tamtam bij gemaakt; daar moet ze een vervolg aan geven.”

Ook Vermeulen denkt dat de AVG bedrijven op scherp zal zetten. Maar hij ziet ook veel onrust, en dat vindt hij jammer. “Het doet me denken aan de WAADI, de wetgeving die ervoor moet zorgen dat mensen het juiste salaris krijgen. De wet richt zich tegen malafide werkgevers – maar het probleem is dat bonafide bedrijven er ook last van hebben. Datzelfde zie ik bij de AVG. Ook die werkt prima tegen bedrijven die laconiek met gegevens omspringen, of ze zelfs misbruiken. Maar er zijn ook veel welwillende partijen die echt hun best doen en gewoon nog zo ver niet zijn. Je goed voorbereiden op deze wet, dat kost tijd. Ik hoop dat de Autoriteit Persoonsgegevens bedrijven die tijd ook geeft. G4S is er klaar voor, maar dat geldt niet voor iedereen.”