Laatst hoorde ik een privacy-consultant stellen dat de AVG in essentie neerkomt op 'administratieve klantgerichtheid'. Als dat zo is, dan verwordt de AVG tot de ISO 9001 standaard voor kwaliteitsmanagement: je hebt een certificaat waarmee je bewijst dat je de grootst mogelijke bagger fabriceert, maar wel volgens een netjes beschreven proces dat je nauwgezet volgt.

De AVG zou meer moeten zijn dan een manier om klantgericht (‘excellent’) onze privacy te schenden...

Volgens de AVG mogen persoonsgegevens alleen verwerkt worden voor een ‘gerechtvaardigd’ doel. Het belang dat jij bij de verwerking hebt - als bedrijf of instelling - moet gerechtvaardigd zijn. Bovendien moet de verwerking (dus welke persoonsgegevens je verzamelt en wat je daar vervolgens mee doet) ‘proportioneel’ en ‘subsidiair’ zijn. Proportioneel betekent dat de mate van inbreuk die je pleegt op de persoonlijke levenssfeer in overeenstemming moet zijn met het belang dat hier mee gemoeid is. Subsidiair betekent dat je doel niet kunt bereiken met een minder ingrijpende inbreuk. Het moet dus ‘ter zake dienend en beperkt tot wat noodzakelijk’ zijn.

Het probleem is dat slechts summier beschreven wordt wat 'gerechtvaardigd, proportioneel of subsidiair' is. En bedrijven vinden al gauw dat hún doel volledig gerechtvaardigd is. En dat het verzamelen van nóg meer gegevens per definitie proportioneel is, omdat hun systemen dan nog efficiënter werken. En dat het subsidiair is omdat op een andere manier werken simpelweg duurder is. Bedrijven redeneren nu eenmaal van nature vanuit hun eigen belang, terwijl privacy nu juist gaat om óns belang: het belang van de burgers, de klanten, de individuen.

Alles bij de bron; FD [gratis registratie noodzakelijk]