Er mag juist te veel onder de AVG/GDPR, er wordt vanalles weggezet onder 'gerechtvaardigd belang', zelfs marketing gaat boven privacy van burgers. Wat heb je dan nog aan privacywetgeving?

Spookverhalen komen ook omdat enorme onzin beweerd door organisaties met AVG als excuus. Laatst nog bedrijf dat me mailde dat ze om "privacy redenen" geen opzegging per mail konden verwerken. Los van de grote hoeveelheden onzin die daarin zaten, dit type gedrag veroorzaakt veel van het "NIET MAG VAN DE AP" beeld. Terwijl het gewoon liegende opportunisten zijn die het misbruiken om b.v. de drempel voor opzegging abonnement te verhogen.

AP zou er heel goed aan doen eindelijk duidelijk en goed vindbaar te publiceren hoe ze de AVG interpreteren, dan kunnen we liegende organisaties ook beter weerwoord geven als ze de AVG misbruiken.

Of er nu teveel mag, veel, of misschien zelfs te weinig doet er eigenlijk niet toe... zolang er nauwelijks gehandhaafd wordt.

Er is een wet, die is redelijk duidelijk, daar moet iedereen zich aan houden, en er moet gehandhaafd worden. Daar rollen dan een aantal conflicten en onduidelijkheden uit waar de rechter zich over mag buigen. Niks geen pseudo-jurisprudentie schrijven door de AP "de wet beter uit te laten leggen", kom nou.

Niets.
Ik stel de AP dan ook voor om haar communicatieprobleem op te lossen door een landelijke brochure uit te brengen met daarin duidelijk uitgelegd wat "gerechtvaardigd belang" volgens de AP is, geïllustreerd met voorbeelden uit de (getolereerde) praktijk.
Dat scheelt meteen een heleboel (kansloze) klachten bij de AP.
Iedereen weet dan meteen waar hij/zij aan toe is, organisaties en bedrijven kunnen aan de slag met hun "gerechtvaardigd belang"-afdeling/ -functionaris, de AP krijgt minder klachten (geen enkele meer over "gerechtvaardigd belang"), de datagedreven economie komt aan haar trekken, dus aan alle kanten win-win. Ja, oké, iets minder voor de burger-klant-dataleverancier, maar dat is niet het probleem waarover het hier gaat, zie de titel van het topic.

Liever een wets(AVG)uitleg die helder is, dan een façadewet die burgers-klanten, oftewel, het levende datasubstraat -vergelijkbaar met dat van de bio-industrie - privacybescherming belooft, maar dat nooit inlost.
Ik heb al een titel voor de brochure:

"Gerechtvaardigd Belang Mag Altijd".

Ben erg benieuwd naar de uitspraak van de Nederlandse rechter over de Nederlandse tennisbond die verkopen van privégegevens aan derden een gerechtvaardigd belang vond dus zonder opt-in. Als dit toegestaan wordt, is het hek van de dam en hebben de AvG en de AP geen enkele waarde meer.

https://www.njb.nl/nieuws/hvj-in-knltb-zaak-belang-is-niet-pas-gerechtvaardigd-als-het-in-de-wet-is-vastgelegd/

Dat is door de te eigenzinnige houding van de AP door de privacy toezichthouder Brussel juist uitgesproken dat de rigide niets mag van de AVG tenzij de verkeerde insteek is. Dat is in lijn met deze evaluatie die daar nog coulant is.
Dit betreft de zaak rond de tennisbond. Bij anderen is de nederlandse rechter die de uitleg van de AP als te rigide neerzette.

Het behoorlijk regelen van administraties en voeren van ondernemingen onmogelijk gemaakt door de AVG is in tegenspraak met de bedoelingen voor privacy zoals L.Brandeis en Warren hebben geformuleerd. Je hebt hopelijk iets opgevangen waarom het boek 1984 niet bedoeld was als handleiding.

Er is al veel vastgelegd, maar de mens is geneigd om altijd de randjes op te zoeken en te kijken, hoever je over het randje kunt gaan, voordat er aan de bel getrokken wordt.

De woningcorporatie waarvan ik mijn woning huur, die aan 50.000 huishoudens verhuurt, gebruikt sinds de invoering van de AVG deze laatste als (comfortabel) argument om onder haar verplichtingen voor het garanderen van woongenot, zoals bijvoorbeeld het oplossen van overlast die door haar huurders voor andere huurders veroorzaakt wordt, uit te komen.
Klachten over overlastgevende huurders worden niet meer teruggekoppeld naar de klagende huurder want "dat mag niet van de AVG omdat de privacy van de (overlastgevende) huurder beschermd moet worden." [Deze laatste kan dan naar de rechter stappen om het onterecht delen van zijn/haar persoonsgegevens (gegevens die herleidbaar zijn tot de persoon) aan te klagen.]
Je kunt wel klagen, maar je weet dan niet meer wat de corporatie daarmee gedaan heeft (terugkoppeling).
Een ontmoedigingsbeleid dus.

Het probleem van overlastgevende huurders (leefbaarheid) in de sociale woningbouw wordt steeds groter en het aanwenden van de AVG om communicatie over overlast (en een verslechterend leefklimaat) tot een minimum te beperken is een legale manier om de eigen verantwoordelijkheid als woningcorporatie te ontduiken.
De AVG werkt hier tégen het belang van de huurders omdat zij de privacy van de overlastgevende huurder beschermt, welke privacy daarmee boven het algemene leefklimaat van huurders gaat. Dit, terwijl iedereen die overlast ervaart in een pand (of straat) weet wie de betreffende personen zijn (even afgezien van wietplantages e.d. die door schimmige huurders gerund worden, die niet in hun gehuurde huis wonen).
Proficiat! Over dit onwenselijke maatschappelijke gevolg van de AVG is m.i. bij het ontwerp van de AVG niet nagedacht.
Maar een herziening van de AVG is m.i. daardoor wèl op zijn plaats.
De AVG is qua ontwerp al misbruikgevoelig. Zie bovenstaande.

Er mag sowieso erg veel onder de AVG, zolang je maar toestemming vraagt. Helaas willen ze zoveel schimmige zaken met je persoonsgegevens doen dat toestemming vragen eng is en schuiven ze het dan maar onder "gerechtvaardigd belang" :-(.

wat vooral zou helpen is als al die privacy juristen de AVG een keer eenduidig zouden interpreteren. Wat in gemeente A mag mag in gemeente B aan de andere kant van het land weer niet. Komt dat echt door de AP of juist door de (eigenwijze) juristen?

Er is helemaal geen gerechtvaardigd belang. Zo’n pagina met allemaal losse schuifjes is gewoon een dark pattern en dus verboden. Aanpakken die handel.

Sorry, maar dat is toch volstrekt logisch? Ons wetboek staat ook vol met dingen die niet mogen. Van agenten mag je ook leen maar dingen "niet". Ze zijn namelijk de controleur van zaken die niet mogen en treden (als het goed is) ook alleen maar op als het fout is. Dus als iets "niet mag"...

Zou wat zijn als de AP ook betrokken moet zijn bij alles wat "wel mag".

Daarnaast is het toch de verplichte taak van bedrijven te weten wat wel- en niet mag? Dat zij hier niet naar handelen is 9/10 keer gewoon een bewust genomen risico.

Dat marketing boven de privacy van burgers zou gaan is marketing van degenen die dat wel zouden willen. Trap er niet in.

Waar het vandaan komt is overweging 47 van de AVG. Ik citeer hem hier volledig, maar dat ene fragmentje over direct marketing (dat staat er namelijk) is alleen de laatste zin van dit geheel:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL#rct_47

Je kan dit alleen interpreteren alsof alle sluizen open staan voor direct marketing als je die laatste zin uit zijn context licht. Maar die context is er wel, als dat zinnetje los daarvan had moeten worden geïnterpreteerd was het in een aparte overweging gezet.

Als je die context, de hele overweging dus, leest dan zie je dat het juist behoorlijk restrictief moet worden opgevat. Daar staat bijvoorbeeld heel duidelijk dat een gerechtvaardigd belang aanwezig kan zijn (dus het is niet automatisch altijd gerechtvaardigd) als de betrokkene een klant is. Dan nog, staat er, moet er zorgvuldig gekeken worden of dat belang er wel is en of de betrokkene de verwerking redelijkerwijs mag verwachten. Dan worden de mogelijkheden heel beperkt. Als er, met dat als context, staat dat verwerking van persoonsgegevens voor direct marketing kan (dus alweer niet altijd) worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang is volkomen duidelijk dat dat echt niet op alle direct marketing kan slaan maar op die gevallen dat je het mag verwachten omdat je klant bent van een bedrijf. En dat klopt met hoe je na een online aankoop marketingmailtjes kan krijgen (waar je je voor moet kunnen afmelden) maar niet zomaar van een bedrijf waar je geen relatie mee hebt.

Zo'n overweging vormt een geheel, ze zetten niet zomaar dingen bij elkaar die geen donder met elkaar te maken hebben. Zoals ik al schreef: als het een ander onderwerp was geweest was het ook een andere overweging geweest. Het feit dat ze het bij elkaar in dezelfde overweging zetten heeft betekenis. En dus is de interpretatie dat die zin over direct marketing alle sluizen open zet klinkklare onzin. Mensen die graag ongehinderd hun gang willen gaan met marketing interpreteren het graag zo, en dragen die interpretatie ook graag uit. Maar ze lichten die zin uit zijn context, doen net alsof die los staat van de rest van de overweging, en dat is een grove misinterpretatie van wat er staat. Trap daar niet in.

De avg heeft een boel open eindjes die nog juridisch vastgelegd moeten worden door rechtszaken over praktijk zaken.

Neem bijvoorbeeld de situatie dat je bij een hoog risico voor de persoonsgegevens bescherming van betrokkenen een DPIA moet uitvoeren.

Wat is een hoog risico? Wanneer een organisatie het risico standaard laag inschat voor hun verwerkingen hoeven ze geen lastige langdurige DPIAs te doen en kan de organisatie door met data verzamelen of doorgaan met hun nieuwe marketing project.

De AP heeft een Catch-22 gecreëerd als vrijbrief voor onnodige privacy-aantasting


Mee eens. Met als aanvulling dat de marketing van het onjuiste idee dat de AVG ongelimiteerde data-verwerking toe zou staan voor (bijvoorbeeld) marketing op grond van een "gerechtvaardigd belang", helaas een tijd lang behoorlijk succesvol lijkt te zijn geweest bij een belangrijke doelgroep, namelijk die van Nederlandse rechters. Daarin lijkt nu een soort kentering te komen. Of die gaat doorzetten, weet ik niet.

-- De bedenkelijke rol van de AP - toelichting aan de hand van de casus Vattenfall --
De AP heeft hierin ook een uiterst bedenkelijke rol gespeeld. Ik zal dit toelichten aan de hand van een recente casus waarbij ik zelf als burger betrokken ben.

In mijn geval heeft het energiebedrijf Vattenfall jarenlang mijn geboortedatum (die ze op een ook voor henzelf onduidelijke manier in handen hadden gekregen) gebruikt voor marketing-doeleinden, zonder mijn toestemming of medeweten. Nu hebben ze aangegeven dat, aangezien ze nu vinden dat ik daar bezwaar tegen heb gemaakt, ze hiermee zijn gestopt. Vattenfall impliceert daarmee een "opt-out" voor de verwerking van het persoonsgegeven "geboortedatum" voor marketing-doeleinden. Dat is natuurlijk onjuist, het moet een "opt-in" zijn, met andere woorden: toestemming van de betrokkene (het data-subject) zou voor een dergelijk gebruik van persoonsgegevens vereist moeten zijn.

Zo'n opt-in betekent dat er in de fysieke wereld nog steeds "ongeadresseerd reclamedrukwerk" in je brievenbus mag worden gegooid, maar geen reclamedrukwerk waarop bewoners met naam en toenaam worden benaderd omdat een bedrijf achter hun namen heeft weten te komen. Of waarin bewoners gefeliciteerd worden met hun verjaardag, die het bedrijf blijkt te weten. Ik zie dat in de fysieke wereld ongevraagd reclamedrukwerk inmiddels ongeadresseerd wordt verspreid. Waarschijnlijk is dat omdat het bewijsmateriaal van een overtreding (namelijk een op persoonsnaam geadresseerde, fysieke envelop) zo makkelijk voorhanden is, waardoor burgers makkelijk een klacht kunnen indienen.

Op het internet is het bij gerichte ("targeted") marketing-activiteiten veel moeilijker om te achterhalen en te bewijzen welke persoonsgegevens een bedrijf dat iets wil verkopen, of een ingeschakeld marketing-bedrijf, heeft gebruikt. Daarom is dataminimalisatie aan de bron belangrijk.

In bovengenoemde casus m.b.t. Vattenfall heb ik Vattenfall om die reden verzocht om mijn geboortedatum, waar een energieleverancier niets mee te maken heeft, alsnog uit al zijn bestanden te verwijderen. Vattenfall heeft dit geweigerd. Zie mijn posting van 03-03-2025 onder: https://www.security.nl/posting/860637/ ("Onaanspreekbaarheid deel 2 - Vattenfall en function creep").

-- Meer duidelijkheid gewenst van de kant van de AP; BSN en geboortedatum --
Ik zou het verwelkomen als de AP duidelijk zou aangeven dat leveranciers van goederen (wasmachines), vloeistoffen (water) of van energie (elektriciteit, gas) niet de geboortedatum van klanten mogen opeisen, en deze moeten verwijderen als ze die persoonsgegevens op illegale of onduidelijke wijze in handen hebben gekregen.

Als de AP dat niet duidelijk aangeeft, bijvoorbeeld op haar website, dan zou ik in bovengenoemde casus zelf een klacht bij de AP moeten indienen. Maar dan gaat de AP weer klagen dat ze te weinig budget en capaciteit hebben en daarom geen "prioriteit" geven aan handhavend optreden tegen zo'n overtreding als die van Vattenfall. Dus blijven bedrijven zoals Vattenfall dan gewoon hun gang gaan.

Op de site van de AP is wel een pagina gewijd aan het BSN-nummer (geen "bijzonder" persoonsgegeven ex art. 9 AVG, maar volgens de AP "wel gevoelig" - wat ook klopt). De AP schrijf onder andere:


Een geboortedatum is minstens even gevoelig als een BSN, omdat het niet alleen identificerend is, maar ook "real-world" informatie geeft over de betreffende persoon. Maar over de (on)rechtmatigheid van het opeisen van een geboortedatum geeft de AP op haar site geen duidelijkheid,

-- De AP geeft een vrijbrief voor privacy-schending --
Een extra probleem is dat als iemand bij een particuliere organisatie (bijvoorbeeld een winkel of een energieleverancier) aangeeft dat hij niet wil dat zijn geboortedatum verwerkt wordt, deze geuite wens formeel kan worden opgevat als een "verzoek op basis van de privacyrechten uit de AVG". Daarover schrijft de AP op haar site:


Dit leidt tot het probleem dat als ik niet wil dat een organisatie mijn geboortedatum verwerkt, die organisatie vervolgens kan zeggen: "Ja, maar omdat u dit te kennen geeft, geldt dat als een verzoek op grond van de AVG, en daarom moeten wij u identificeren, en wel aan de hand van... uw geboortedatum!"

Dit is dus een Catch-22. Op deze manier kan een willekeurige winkelier die via een data-handelaar op illegale wijze aan mijn geboortedatum is gekomen, deze blijven verwerken. Want als ik er niet tegen protesteer, kan de winkelier ermee doorgaan. Maar als ik er wel tegen protesteer, dan geldt juist mijn verzoek om verwijdering als een grondslag voor de verwerking van het persoonsgegeven.

Op deze manier geldt de Wet van de Jungle, ook wel bekend als het recht van de sterkste. Dat is precies waar Vattenfall in de door mij genoemde casus nu misbruik van maakt. Net als hoogstwaarschijnlijk talloze andere particuliere organisaties.

Op haar site lijkt de AP dit misbruik zelfs aan te moedigen, als "inspiratie":


Het gaat hier om wat in de volksmond de "AVG-check" wordt genoemd - een informele, door de AP als "inspiratie" betitelde vrijbrief voor willekeurige particuliere organisaties, inclusief commerciële dienstverleners, om de privacy van mensen zonder feitelijke noodzaak aan te tasten.

Het persoonsgegeven geboortedatum werkt natuurlijk ook helemaal niet om een klant te identificeren, want ik en de meeste andere mensen hebben onze geboortedatum al honderden of duizenden malen moeten verstrekken "ter identificatie", aan instanties waar wij geen enkel zicht hebben wat er vervolgens met dit persoonsgegeven wordt gedaan, d.w.z. hoe het verder wordt verwerkt. Als gevolg daarvan kan dit persoonsgegeven op talloze plekken terecht zijn gekomen, en met name ook in de bestanden van data-handelaren. Als een fraudeur echt iets wil, kan die met gemak achter mijn geboortedatum komen, en die van talloze andere mensen.

Zolang de AP zich zo opstelt en deze gang van zaken goedkeurt, maakt de AP maar één ding duidelijk, namelijk dat burgers en hun privacy in de praktijk vogelvrij zijn.

M.J.

Dit bedenk je toch alleen als je de AVG echt niet snapt...
De AVG is geen ja / nee, de AVG is controle over je data landschap hebben, en deze data veilig bewaren/transporteren en retentie toepassen.