Een oogje toeknijpen als het gaat om privacy, het gebeurt tijdens de coronacrisis ook in Nederland. De Autoriteit Persoonsgegevens (AP) maakte 20 maart bekend dat het minder streng toeziet op een aantal privacyregels. Goed te verdedigen, vindt hoogleraar bedrijfsethiek aan de Erasmus Universiteit en partner bij KPMG Muel Kaptein. Tegelijkertijd stelt hij: “Omdat onze privacy in crisistijd meer onder druk staat, moet er extra aandacht zijn voor het toezicht erop.”
Een drone die over het strand vliegt en mensen tot afstand maant. Extra camera’s in grote steden om mensen in de gaten te houden. Tot een maand geleden was dit ondenkbaar in Nederland. Nu gebeurt het niet alleen, maar wordt het ook oogluikend toegestaan door privacywaakhond AP. Die stelt: “De AP zal organisaties nu ruimte geven om hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis. Deadlines voor het aanleveren van informatie aan de toezichthouder worden opgerekt waar nodig en de AP zal de komende tijd per geval kijken wat passend is en wat niet.”
Krachtig signaal van ap
Is er sprake van een glijdende schaal en leidt de coronacrisis tot een Nederland waarin privacy niet meer hoog in het vaandel staat? Kaptein denkt van niet. “Toezicht volgt onze wet- en regelgeving. Die is gebaseerd op ethiek, dus wat wij als samenleving belangrijke principes, waarden en normen vinden. Maar onze wet- en regelgeving is ontstaan in de relatief normale wereld. Nu zitten we in een crisissituatie en dat betekent dat onze principes, waarden en normen zich anders tot elkaar verhouden. Doordat onze gezondheid massaal in het geding is, hechten we veel meer waarde aan de bescherming ervan. Dat gaat ten koste van bijvoorbeeld onze welvaart. Of ons idee over privacy en wanneer die wel en niet geschonden mag worden. Die verschuiving heeft ook consequenties voor toezicht.”
“Nu zitten we in een crisissituatie en dat betekent dat onze waarden, principes, en normen zich anders tot elkaar verhouden.”
Risico’s voor privacy
Kaptein legt uit: “Bij bedrijven hebben gezondheid en veiligheid nu zo’n hoge waarde dat winstgevendheid en stabiliteit minder belangrijk zijn geworden. En op macroniveau is de samenleving zo goed als platgelegd vanwege onze gezondheid. Dat is een herijking van onze waarden. AP doet dat nu ook. Die ziet onze wet- en regelgeving rondom privacy in de bredere context. Ik vind het signaal dat AP hiermee afgeeft heel krachtig. Ze zeggen niet: privacywetgeving gaat overboord of volledige naleving boven alles. Nee, ze doen een beroep op het gezonde verstand en de eigen verantwoordelijkheid van organisaties.”
Kaptein signaleert ook een paradox: “Privacy en het veilig houden van persoonsgegevens zijn juist nu heel belangrijk. Bedrijven lopen in crisistijd allerlei extra risico’s op privacyvlak. Mensen werken nu bijvoorbeeld meestal thuis en videobellen veel meer. Dat kan een inbreuk zijn op de privésfeer, want collega’s en klanten komen via het videoscherm bij iemand thuis. Of neem werkgevers die hun werknemers nu mogen vragen om het te melden als ze corona hebben. Hoewel ze niet mogen vragen óf mensen corona hebben.”
“Bedrijven lopen in crisistijd allerlei extra risico’s als het gaat om het schenden van privacy.”
Kaptein: “Verder liggen er nu veel meer data buiten de muren en servers van organisaties, omdat mensen thuiswerken. Daarnaast is de druk op sommige organisaties in deze crisis groot. Denk dan bijvoorbeeld aan supermarkten, zorgorganisaties en producenten van medische apparatuur. Daardoor is er minder tijd voor andere zaken, zoals privacy. En dan zijn er ook nog organisaties die steeds dichter bij de rand van hun faillissement komen. Die zullen sneller in de verleiding komen om privacyregels te schenden. Bijvoorbeeld door zonder toestemming persoonsgegevens te gebruiken. Of door klantgegevens tóch door te verkopen om extra omzet te creëren.”
Meer ruimte voor interpetatie
Al deze risico’s zie ik als reden voor bedrijven om juist nu het interne toezicht op privacy strak te houden. “Met de versoepeling van de regels van de AP, is ruimte ontstaan voor interpretatie. Dat levert wat mij betreft een belangrijk agendapunt op voor de externe toezichthouder. AP kan nu in sommige gevallen niet controleren of iemand zich aan de letter van de wet houdt. Zij hebben immers aangegeven dat in specifieke gevallen niet te doen. Dat betekent dat de toezichthouders zich moeten richten op hoe processen zijn geregeld. Of een organisatie de actuele privacyrisico’s heeft gesignaleerd en een zuivere afweging heeft gemaakt hoe daarmee om te gaan.”
“Het is belangrijk dat medewerkers zich bewust blijven van het belang van privacy en het bijbehorende beleid.”
Toezicht op scherp
Kaptein onderscheidt vier stappen die organisaties kunnen nemen om de privacy ook in crisistijd te waarborgen. Dat zijn ook de stappen die toezichthouders goed in de gaten moeten houden. “De eerste is dat de organisatie een goede inschatting maakt van de eigen privacyrisico’s in deze crisistijd. Staat het bijvoorbeeld op de agenda van de directie? Hier moet vervolgens het beleid op worden aangepast. Hierbij kan de privacy-officer een belangrijke rol vervullen. Daarna is het belangrijk dat medewerkers zich bewust blijven van het belang van privacy en het bijbehorende beleid. Dit kan worden bevorderd door het aanbieden van een e-learning of dilemma-app. Daarmee kunnen medewerkers hun kennis over het privacybeleid trainen. Tot slot moet een organisatie monitoren of het eigen beleid werkt, een taak voor de interne toezichthouder. Bijvoorbeeld de privacy-officer of interne auditdienst.”
“Zodra de crisis voorbij is, moeten we weer zo snel mogelijk terug naar de strikte interpretatie van regels en de wetten rondom privacy.”
Kaptein heeft ook enkele simpele tips voor die monitoring: “Houd eens steekproeven onder videovergaderingen met externen om te zien of daar geen gevoelige gegevens over tafel gaan. En kijk op de Twitter- en LinkedIn-accounts van medewerkers of daar niet foto’s voorbijkomen van mensen die daar geen toestemming voor hebben gegeven. Dit is toch de tijd dat, met de beste bedoelingen, bijvoorbeeld trotse foto’s met patiënten, leerlingen of klanten worden geplaatst.
En na de crisis?
Kaptein wil wel benadrukken dat de situatie die hij nu omschrijft, echt alleen in crisistijd opgaat. “We moeten nu niet denken dat privacy minder belangrijk is geworden. Het heeft op dit moment een ander gewicht, maar we geven er nog steeds om. Zodra de crisis voorbij is, moeten we weer zo snel mogelijk terug naar de strikte interpretatie van regels en de wetten rondom privacy. Die zijn bedoeld voor normale situaties, dat wil zeggen niet-crisissituaties. Tot die tijd moeten organisaties, vooral in de vitale sectoren, de ruimte krijgen om zich vol in te zetten voor de gezondheid van alle Nederlanders. Laat toezicht op privacy die inzet niet verlammen. Maar tegen interne toezichthouders zou ik willen zeggen: wees juist nu alert en extra waakzaam op de privacy van je medewerkers en klanten.”
