AVG en Nederlandse wetten: alleen samen beschermen ze persoonsgegevens
Mr. Dr. Tijmen Wisman, universitair docent VU Amsterdam en mr. Rani Wierda, juridisch adviseur ICTU.
Er zijn meer wetten dan de AVG waar je naar moet kijken om te beoordelen of je gegevensverwerking verantwoord is. In domeinen als onderwijs en gezondheidszorg zijn er wetten die de normen uit de AVG concreter maken.
TIJMEN EN RANI_4
(Intro met abstracte beelden met daaronder een korte begintune.)
(In beeld verschijnt de tekst:
microlearnings
Privacy)
(Twee mensen zitten tegenover elkaar in een verder lege kantoorruimte en starten het gesprek:
de heer Tijmen Wisman begint en mevrouw Rani Wierda reageert.)
(In beeld verschijnt de tekst:
Tijmen Wisman
universitair docent, Vrije Universiteit Amsterdam)
TIJMEN WISMAN: De hele gegevensverwerkingsoperatie is in overeenstemming met de AVG. Hij is daaraan getoetst en het klopt helemaal. Ben je dan klaar?
(In beeld verschijnt de tekst:
mr. Rani Wierda
juridisch adviseur, ICTU)
RANI WIERDA: Dat hangt ervan af. Nee, dan ben je niet klaar. Je hebt dan de gezondheidswetgeving, maar je hebt bijvoorbeeld ook in het sociale domein de wet maatschappelijke ondersteuning. Dat soort wetten, dat zijn dan weer andere domeinen, waar ook gegevensbescherming op een bepaalde manier is ingevuld. Het gaat vaak over bewaartermijn, maar het gaat ook om: Welke gegevens mag je gebruiken? Je hebt straks zoiets als de wet op de elektronische gegevensuitwisseling in de zorg. Dat is een invulling van de AVG. Dus je komt er eigenlijk nooit alleen met de AVG. En als ik dan ook voor een departement een privacy-opdracht moet doen, dan is het eerste wat ik vraag: Wie is de domeinexpert hier? Mag ik die aan tafel hebben, want om al die wetten uit m'n hoofd te kennen of me erin te verdiepen, daar ben je zomaar een tijd mee kwijt.
TIJMEN: Ja, dat is niet te doen.
RANI: Dat is niet te doen.
TIJMEN: Is het dan ook zo, want als je de AVG gewoon zou toepassen, dan moet je iedere keer kijken:
Oké, dit is die open norm, hoe moet ik die interpreteren en toepassen in deze context? Zou je dan kunnen zeggen dat in een domeinspecifieke wetgeving, daar vindt er interpretatie en toepassing plaats
van normen uit de AVG. Zou je dan kunnen zeggen dat, als je daar dan opnieuw naar de AVG zou kijken, dat je dan dubbel werk aan het verrichten bent?
RANI: Je bent geen dubbel werk aan het verrichten, je bent eigenlijk aan het specificeren. Als je het over gezondheidsgegevens hebt, heb je het over hele bijzondere gegevens, die je voor bepaalde doelen wilt gebruiken. Dus dat is de link met de AVG. Maar hoe je dat wilt, daar kan je je misschien wel van voorstellen, dat je dat gewoon ook in een domeinwet wilt, omdat je anders hele lange wetten krijgt. Nog langer dan ze al zijn. Daar komt bij, de AVG is natuurlijk Europese wetgeving. Het is voor Europa ondoenlijk om met alle lokale verschillen rekening te houden. Daarom is dat een normenkader en een kaderwet, zodat je daar ook in specifieke lokale situaties je eigen interpretatie, de interpretatie moet overeenkomen met de AVG, maar dat je je er je eigen smaak aan kan zetten.
TIJMEN: Het is ook fijn dat bij bepaalde gegevens die heel gevoelig zijn, zoals medische gegevens, dat je kan zorgen dat de interpretatie niet helemaal vrij is, maar dat er wordt gezegd: Deze gegevens vinden we zo belangrijk dat ze extra bescherming verdienen.
(Outro met abstracte beelden en korte eindtune.)
(In beeld verschijnt de tekst:
microlearnings
Privacy)
(Het laatste beeld bevat het logo van de Rijksoverheid met daaronder de tekst:
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO))