Door Erik van Straten: De olifant in de kamer is de vraag hoe lang er nog sprake is van een (AVG-) "gerechtvaardigd belang" om -zonder mijn expliciete toestemming- mijn gegevens met welke derde partij dan ook te delen - indien die gegevens vervolgens (met welk excuus dan ook) op straat belanden.
Dit staat los van de verwerkingsgrondslagen. Dit gaat om onderzoeken onder klanten die NS en VodafoneZiggo zelf mogen uitvoeren maar hebben uitbesteed aan Blauw. Voor de AVG zijn dit verwerkingsverantwoordelijken die een deel van hun verwerking aan een verwerker hebben uitbesteed. Dat mag, met een goede verwerkersovereenkomst, maar daarmee besteden ze hun verantwoordelijkheid voor de verwerking niet uit.
Hoe zit het met MIJN gerechtvaardigde belangen?
Die zijn geschonden. Die zouden ook zijn geschonden als er helemaal niets was uitbesteed en het lek bij NS en VodafoneZiggo zelf had plaatsgevonden. Met een dikke
maar die zo komt.
De AVG zuigt.
Wat zuigt is (en dat is de dikke maar) dat werk steeds meer zo wordt georganiseerd dat het bij grote partijen geconcentreerd raakt. Bij Blauw zijn verwerkingen voor NS en ZiggaVodafone en mogelijk nog ettelijke andere bedrijven samengekomen en samen fout gegaan. O nee, het is misgegaan bij een "softwareleverancier" van Blauw die kennelijk niet de software levert maar de data ontvangt en verwerkt, dat zal wel SaaS of zoiets zijn. Daar kunnen weer verwerkingen van meer partijen zoals Blauw bij elkaar komen. Wie weet hoe enorm dit lek nog zal blijken te zijn.
Dát zuigt.
De AVG stelt dat technische of organisatorische maatregelen moeten worden genomen om een passend beveiligingsniveau te waarborgen. Dat is bewust een heel open formulering die dient om te voorkomen dat de AVG achterhaald raakt waar je bij staat. Het is de bedoeling dat organisaties maatregelen nemen die passen bij wat op dat moment de risico's zijn. Ik denk dat een werkwijze met hele ketens van uitbestede verwerkingen, en het bij elkaar komen van veel van die verwerkingen op plekken waar het dan heel in het groot mis kan gaan, een risico vormt. Zo'n werkwijze kan je dus niet bepaald een organisatorische maatregel die helpt om een passend beveiligingsniveau te waarborgen, integendeel. Maar dan is deze werkwijze in strijd met de AVG. Als dit geen incident is maar een patroon gaat blijken te zijn (wat mij niets zou verbazen) dan zou dat wel eens het standpunt van de toezichthouders kunnen worden en dan kunnen bedrijven daarop aangepakt gaan worden.
Of dat ook werkelijk gebeurt, op precies deze manier gebeurt, en hoe lang dat dan op zich laat wachten weet ik natuurlijk niet. Maar in de AVG is doelbewust de mogelijkheid ingebouwd om met de praktijk mee te groeien, dus het zou kunnen gebeuren. Dat zuigt niet, dat is juist sterk. We lopen nog steeds achter de feiten aan, maar veel minder ver dan wanneer telkens wetswijzigingen nodig zijn voor wetten die veel te expliciet de techniek en organisatiekeuzes van het moment beschrijven.