Een jaar na dato is de AVG niet langer voer voor juristen alleen

Gischler: Het risico van een harde deadline is dat er daarna ‘AVG-moeheid’ optreedt. Dat iedereen blij is dat de deadline is gehaald en dat de aandacht wegebt. Hoe ervaren jullie dat?

Vermeer: “Mijn ervaring is dat veel partijen na de implementatiedatum de juiste vragen gingen stellen, juist omdat de druk van de ‘deadline’ eraf was. Ze gingen nadenken over wat de AVG nu echt betekent voor hun organisatie. Er wordt inmiddels eigenlijk nauwelijks meer gepraat over AVG, maar wel heel veel over data governance. Tegelijkertijd zie ik ook dat er (nog) weinig handhaving is, en dat daardoor een prikkel ontbreekt voor partijen die deze prikkel misschien nog wel nodig hebben.”

Bholasing: “Data privacy is bij ING van meet af aan meer dan een juridisch onderwerp en is gaandeweg steeds meer multidisciplinair ingestoken. Er is binnen ING een breed gedragen besef dat data privacy voor onze klanten en werknemers essentieel is, we geen incidenten willen en dat het vooral geen ’legal only’ onderwerp is. Die multidisciplinaire aanpak borgen we binnen ING onder andere met een Data Protection Sounding Board, een interdisciplinair overleg op hoofdkantoorniveau waar operationele stappen worden besproken en uitgewerkt.”

Tuinenburg: “Die multidisciplinaire aanpak is heel herkenbaar en ook nodig om privacy ook echt by design in je systemen te krijgen. Ik denk dat vooral IT en Information Risk een steeds grotere rol zijn gaan spelen in dit dossier. En het mooie is: zij vinden het ook erg leuk om dat te doen.”

Gischler: De lastige juridische vragen zijn inmiddels wel beantwoord. Zijn er nog domeinen waar dilemma’s spelen?

Tuinenburg: “Die zijn er zeker, alleen zijn ze minder van strikt juridische aard. Als voorbeeld: er is Nationale-Nederlanden veel aan gelegen om nauwgezet met data en persoonsgegevens om te gaan. Omdat onze klanten dat verdienen en omdat we als beursgenoteerd bedrijf zorgvuldig omgaan met onze reputatie. Maar ‘zorgvuldigmet data en persoonsgegevens omgaan’ hoeft niet gelijk te staan aan het ‘sec’ voldoen aan wet- en regelgeving, het gaat verder dan dat.”

Gischler: Handelen binnen de letter van de wet zonder te kijken en na te denken over de ethics rondom data. Daarmee komen we op dit punt niet meer weg?

Tuinenburg: “Zeker niet. Als wij plannen ontwikkelen waar het gebruik van data een rol speelt gebruiken we drie simpele criteria. Kunnen we het? Mogen we het? En willen we het?”

Bholasing: “Die laatste vraag is heel relevant en niet altijd gemakkelijk te beantwoorden. We kiezen bij twijfel voor de veilige weg, in de wetenschap dat we verassingen voor onze klanten willen voorkomen. Er zijn tal van businesscases te bedenken waar je met de koppeling van externe en interne databronnen proposities kunt maken, die toegevoegde waarde voor onze klanten kunnen hebben. Maar bij al die opties vragen we ons steeds weer af of onze klant dat ook wil en in hoeverre keuzevrijheid geborgd is.”

Tuinenburg: “Technologie trekt zich niets aan van wetgeving en ontwikkelt zich in een rap tempo door. Wetgeving hobbelt daar per definitie achteraan. Daardoor ontstaan vraagstukken waar de wet soms geen antwoord op geeft. Je hebt dan eigenlijk een maatschappelijke norm nodig. Maar die is er niet.”

Vermeer: “Ethiek van datagebruik wordt steeds meer een issue. Het is inderdaad zoeken naar de norm. Zowel ten aanzien van de maatschappelijke opinie als ten aanzien van de invulling van de wettelijke eisen. Je ziet partijen ook hoopvol kijken naar de toezichthouder op dit vlak, maar die geeft nog weinig handvatten. In zekere zin zou het helpen als er een paar cases voor de rechter komen. Maar geen enkele financiële instelling wil daar natuurlijk de vingers aan branden en dus lijkt iedereen de veilige route te bewandelen.”

Tuinenburg: “We willen als financiële instelling onze bijdrage leveren om de norm te bepalen. We kijken daarvoor ook naar de politiek en partijen zoals bijvoorbeeld VNO/NCW of het Verbond van Verzekeraars om daar een rol in te spelen.”

Bholasing: “Overigens gaat het bij de dilemma’s op dit punt niet altijd om aantasting van privacy, maar ook om andere aspecten. Vanuit de wetenschap is bijvoorbeeld het vraagstuk bekend om met data-analyse de risico’s van hypothecaire leningen  in te schatten.  Dat kan interessante inzichten opleveren. Het risico van discriminatie moeten we nog wel mitigeren.”

Gischler: Alles overziend. Kiezen financiële instellingen dan nu niet een wat erg veilige benadering?

Bholasing: “Onze eigen medewerkers zijn een goed kompas om op te varen als het gaat om de ethiek van wat we doen. Want zij zijn vaak ook onze klanten. Wat in het licht van data privacy ook een rol speelt is PSD2. Deze richtlijn maakt het mogelijk dat nieuwe partijen na toestemming van de klant toegang krijgen tot de betaaldata van die klant in de systemen van de bank. Het wordt interessant om te zien hoe partijen hier invulling aan gaan geven en waar klanten een voorkeur voor hebben. Bijvoorbeeld of zij bereid zijn om gegevens te delen in ruil voor een commercieel aanbod.”

Tuinenburg: “We willen het gewoon goed doen. Maar het punt is: het valt niet op als je het goed voor elkaar hebt, alleen maar als je steken laat vallen. Neem bijvoorbeeld de mogelijkheid tot het doen van een zogenaamd inzageverzoek, het recht op inzage in je persoonsgegevens, zoals voorgeschreven in de AVG. We hebben dat bij Nationale-Nederlanden echt mooi ingericht en onze klanten kunnen met een druk op de knop al inzicht krijgen in hun persoonsgegevens en contacten met ons. Daar is veel aandacht aan besteed. Maar voor zaken die gewoon goed geregeld zijn is er minder aandacht.”

Vermeer: “Ten aanzien van bijvoorbeeld het onderwerp profiling – waarmee je bepaalde voorkeuren van mensen in kaart brengt - leven er veel vragen en zit iedereen een beetje naar elkaar te kijken wat er wel en niet mag. In algemene zin denk ik dat we daar soms overdreven voorzichtig in de wedstrijd zitten. Als je heel feitelijk kijkt naar wat er in de AVG staat mag er meer dan je wellicht denkt.”