Verklaring en overeenkomst

Middels een privacyverklaring (statement, beleid of policy) vermelden organisaties dat de privacywet wordt nageleefd en hoe men dat doet. Meestal vind je die verklaring op de site van de betreffende organisatie of wordt je daarnaar verwezen.

Als een organisatie niet in overeenstemming met die verklaring handelt is het natuurlijk zaak om daarover vragen te stellen. Maar als je er niet uitkomt is het voor iemand, die daarvan nadelige gevolgen ondervindt mogelijk om de hulp van de Autoriteit Persoonsgegevens in te roepen door een privacyklacht in te dienen. Een geruststellende gedachte, die echter snel verdwijnt als je leest hoe veel klachten jaarlijks worden ingediend en dat jouw klacht, door onvoldoende personeel, pas na 6 maanden in behandeling kan worden genomen.

Met deze situatie wordt het vertrouwen op de proef gesteld. Maar dat niet alleen. Het feit, dat het hier om een grondwettelijk recht gaat maakt deze situatie feitelijk onacceptabel. Dat moet en kan ook anders.

Naast het recht om een klacht in te dienen bij de toezichthouder (Artikel 77) beschrijft de AVG dat er ook andere manieren zijn om je recht uit te oefenen (Artikel 79) en aanspraak te doen op een vergoeding voor geleden schade (Artikel 82). In dat geval biedt het uitkomst als je als benadeelde niet hoeft te verwijzen naar een privacyverklaring maar beschikt over een, met jou gesloten privacyovereenkomst.

Een overeenkomst waarin helder staat beschreven aan welke verplichtingen de organisatie voldoet waarmee je de relatie aangaat en welke rechten jij hebt. Waarin ook beschreven staat wat de gevolgen zijn als die verplichtingen uit de privacywet niet worden nagekomen. Of wanneer een verzoek van jou niet kan worden gehonoreerd terwijl dat wel zou moeten. Naast een melding bij een overbelaste toezichthouder kan dan ook de rechter een – al dan niet voorlopige – uitspraak doen.

Zo’n privacyovereenkomst kan een separate overeenkomst zijn of onderdeel van een bestaande overeenkomst. Een op naam gestelde privacyovereenkomst bij het tot stand komen van een relatie met bijvoorbeeld een werkgever, de (sport)vereniging een zorgverlener of een organisatie waarbij je je inschrijft als woningzoekende.

De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) bepaalt dat automatisch een overeenkomst tot stand komt tussen de patiĆ«nt en de zorgverlener. Zo’n overeenkomst hoeft in principe niet schriftelijk te worden aangegaan. Maar in de praktijk zie je dat dat steeds vaker wel gebeurt. De inhoud van een privacyverklaring kan daar prima in worden opgenomen/onderdeel van uitmaken.

Samenvattend:

  1. Voordat een relatie tot stand komt kunnen betrokkenen kennis nemen van de privacyverklaring zoals dat nu het geval is.
  2. Schrijft men zich in, wordt men lid of werknemer dan komt een op naam gestelde privacyovereenkomst tussen de (verwerkingsverantwoordelijke) organisatie en betrokkene tot stand.

Op basis van mijn persoonlijke ervaringen en signalen die mij bereiken van collega privacyprofessionals, trek ik de conclusie dat meer druk op de naleving van privacywetgeving met meer focus op de rechten van betrokkenen op zijn plaats is. Ik sluit me dus graag aan bij de woorden van de toezichthouder als hij stelt mensen hebben recht op bescherming van hun privacy en moeten daarvoor snel terecht kunnen. Ik denk dat een privacyovereenkomst daaraan kan bijdragen en heb mijzelf dan ook tot doel gesteld om de handen daarvoor op elkaar te krijgen. Ik ben overigens wel realist genoeg om te beseffen dat deze ambitie naast steun ook weerstand zal oproepen.

Jouw mening doet er toe!
Als je mij en andere bezoekers wilt laten weten wat jij er van vindt kun je dat op deze pagina kenbaar maken. Wordt zeer gewaardeerd!

Helaas houdt Eurolex (nog) geen rekening met de leesbaarheid van de AVG op een smartphone. Voor verwijzingen naar wetsartikelen maak ik daarom dankbaar gebruik van het “hobbyproject” avgb.nl van Bart Schellekens.

Afbeelding Gerd Altmann