AVG: vloek of zegen? Ledenbijeenkomst biedt stof tot nadenken

“Een jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) is het goed om met elkaar ervaringen uit te wisselen”, zo verwelkomde Chris Buijink, voorzitter van de Nederlandse Vereniging van Banken (NVB) de bezoekers van de NVB-bijeenkomst ‘AVG: vloek of zegen?’ Inspirerende sprekers van binnen en buiten de sector boden volop stof tot nadenken.

“Je moet laten zien dat je het waard bent om vertrouwd te worden op een morele manier. Welke principes hang je aan? Ben je geloofwaardig?”, aldus de eerste spreker prof. dr. Jeroen van den Hoven, hoogleraar Ethics & Technology. “Een complicerende factor is de conceptuele verwarring rondom begrippen die filosofische elementen en techniek koppelen. Niemand weet precies waar je het over hebt als je praat over cyber community of digital democracy. Dat conceptuele vacuüm moet gevuld.”

Van den Hoven waarschuwde voor het machtsmonopolie van bigtech giganten: “Als we hechten aan waarden als mensenrechten, scheiding van machten en democratie, we have to design it in. Principes als ‘informed consent’, ‘the right to be forgotten’, ‘use limitation’, ‘purpose specification’ zijn er om kwetsbare mensen te beschermen als het gaat om datatoegang. We moeten leren kritisch te kijken naar technologie. Die technologie komt met ingebouwde normen die effect hebben op individuen. Ethics in a digital society needs to be done in design.”

Juiste hoeveelheid data

Ilse Meyer, senior legal counsel Rabobank, en Ramon van den Akker, senior expert Risk Modelling & Advanced Analytics bij de Volksbank stonden stil bij de spanningen tussen de AVG en data science & Artificial Intelligence.  Een thema was de ‘juiste hoeveelheid’ data.  Waar de data scientist voor het ‘voeden’ van een algoritme liefst zoveel mogelijk variabelen heeft voor modelontwikkeling, kan de privacy-jurist daar juist moeite mee hebben. De AVG vraagt immers juist om dataminimalisatie.

De minst bekende rechten van de AVG zijn het nieuwe recht op dataportabiliteit en het recht op een menselijke blik bij geautomatiseerd besluiten (13%), zo blijkt uit een recente flitspeiling van de Autoriteit Persoonsgegevens (AP). Bert-Rein Griede, senior legal counsel ING en functionaris gegevensbescherming, nam deze cijfers met de zaal door. Het nieuwe recht op vergetelheid wordt met stip als meest belangrijke recht genoemd, gevolgd door het recht om een privacyklacht in te dienen. Griede gaf aan zich erover te verbazen dat er vervolgens zo weinig van dat recht gebruik wordt gemaakt, zo bleek uit het onderzoek. Het aantal klachten over het recht op inzage valt naar verhouding erg mee, meent Griede, maar iedere klacht is er natuurlijk één teveel.

Met elkaar in gesprek

Walter Cruccu, senior inspecteur Systeemtoezicht bij de Autoriteit Persoonsgegevens (AP) liet zien dat zijn organisatie het afgelopen jaar niet heeft stilgezeten. De AP beantwoordde bijna 27.000 vragen, gaf 70 presentaties, ontving ruim 11.000 klachten en bracht 80 wetgevingsadviezen uit. Aan het einde van zijn presentatie kwam een vraag uit de zaal: hoe als bank om te gaan met verzoeken van een toezichthouder waarbij de bank het gevoel heeft daar juist vanuit de privacywetgeving niet aan te kunnen voldoen. Cruccu: “Voor beide partijen geldt: zorg voor een goede onderbouwing. Zowel de toezichthouder als de bank dienen vanuit AVG-perspectief een rechtsgrond te hebben als basis voor de ontvangst en de verstrekking van persoonsgegevens. Het verzoek om en de verstrekking van persoonsgegevens moet binnen de rechtsgrond vallen.” “Vraag advies. Ga met elkaar in gesprek en maak daarbij je bezwaren kenbaar”, adviseerde Cruccu.

Samen boeven vangen

Rickert Ahling, officier van justitie bij het Functioneel Parket Amsterdam, loodste de zaal op aansprekende wijze door theoretische begrippen als instrumentalisme en rechtsbescherming.  De instrumentalistisch opvatting van het strafrecht is vooral gericht op het inzetten van strafrecht als instrument om Nederland veiliger te maken. De keerzijde daarvan is de rechtsbeschermende kant, waarbij begrippen als opportuniteit, proportialiteit, subsidiariteit gelden. Ahling: “Het strafrecht opent mogelijkheden tot optreden én het strafrecht begrenst het overheidsoptreden. Het is altijd een kwestie van het afwegen van algemene belangen als waarheidsvinding, berechting, veiligheid tegen de belangen van het individu.”Ahling vertelde hoe hij samen met de banken erin slaagt ‘boeven’ te vangen via de follow-the-money-methode. “Via de aanpak van onverklaarbaar vermogen, lukt het de grote vissen te vangen. Dat vind ik supergaaf.” Ahling benadrukte dat ook hier het idee van rechtshandhaving met de daarbij horende beschermende principes leidend is. “Privacyregelgeving vormt daarbij de absolute basis.”

PSD2 & privacy/Open Banking

Marta Borrat i Frigola, senior legal counsel bij ABN AMRO en voorzitter van de Expert Pool Privacy van de NVB, liep met de zaal langs de Europese maatregelen om de privacyrisico’s van PSD2 te tackelen; toestemming van de klant, restricties over het gebruik van klantdata, strenge beveiligingsmaatregelen voor uitwisseling van gegevens en de privacyregels van de AVG. Even leek alsof de AVG-mogelijkheid om persoonsgegevens te verwerken op andere grondslagen dan alleen toestemming, plotseling werd ontnomen door de PSD2, stelde Borrat i Frigola. “Inmiddels is duidelijk dat het om twee verschillende soorten van toestemming gaat. Er is geen hiërarchische relatie tussen PSD2 en AVG. Ze zijn beide van toepassing op gelijk niveau.”

Er zijn veel zorgen rondom de verwerking van bijzondere persoonsgegevens. Zeker nu ook grote bedrijven daar toegang toe krijgen. Borrat i Frigola: “Als traditionele banken zijn we verplicht op basis van PSD2 om ongewijzigd rekeninginformatie te verstrekken. Maar: ook de grote partijen zijn gebonden aan PSD2 en AVG.”

Dit artikel is eerder verschenen op Bank|Wereld Online, het online magazine van de Nederlandse Vereniging van Banken.