Wat gebeurt er als je die vele privacychecks niets mee doet?

Iedere organisatie heeft een grondslag nodig om persoonsgegevens te mogen verwerken. Toestemming is een van de grondslagen. Toestemming is bijvoorbeeld vereist wanneer een organisatie marketing gerelateerde e-mails wil versturen (een e-mailadres is een persoonsgegeven). Indien je die toestemming niet geeft, mogen ze dat dus niet meer doen. Zo werkt het met alle verwerkingshandelingen. Soms kunnen bepaalde persoonsgegevens worden verwerkt op een andere grondslag. Denk aan de werkgever die op grond van zijn wettelijke verplichting personeelsgegevens opslaat. Maar voor veel verwerkingshandelingen is toestemming van de betrokkene vereist. Daar zien veel van de e-mails op die je hierover ontvangt. Ook ontvang je ter kennisgeving veel e-mails betreffende het nieuwe AVG-proof beveiligings-/privacybeleid van diverse organisaties. Daar staat in hoe de normen in die organisatie worden geimplementeerd, hoe om wordt gegaan met rechten betrokkenen, datalekken, beveiligingsmaatregelen enz.

Onder juristen zijn we inmiddels tot de bescheiden conclusie gekomen dat de AVG tot nog toe niet het gewenste effect heeft. Het idee achter deze verordening is onder andere dat de natuurlijke persoon erdoor beschermd wordt en duidelijk krijgt welke rechten hij heeft m.b.t. persoonsgegevens en hoe hij die kan inroepen. Maar door de complete wirwar aan allerhande privacygerelateerde documenten die je links en rechts om de oren vliegen, heeft het nogal een averechts effect. Het wordt er eerder onduidelijker op. En niet alleen bij de burger, maar ook bij bedrijven, overheden en zelfs de meeste juristen. En dat komt weer door de vele open normen in de AVG, waarbij iedereen het naar eigen inzicht interpreteert en eigenlijk maar wat doet. Daarom denk ik ook dat de soep uiteindelijk, althans voorlopig, niet zo heet gegeten zal worden. Handhaven van zulke vage normen is onbegonnen werk voor de Autoriteit Persoonsgegevens. Dus conclusie: het loopt allemaal wel los.