Laten we vooropstellen dat de Algemene Verordening Gegevensbescherming (AVG) een goede insteek heeft, namelijk het beschrijft gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. En daar gaan we gelijk het schip in. Als één ding inmiddels duidelijk is over deze verordening, is dat de AVG niet zo gedetailleerd is als we zouden verwachten en er een heel groot grijs gebied is. Hoe gaan we daar binnen het contractmanagement mee om?
We lopen vroeg of laat allemaal wel tegen het onderdeel ‘privacy’ aan in ons werk. Ik als contractmanager binnen het Sociaal Domein ook. Wat verwachten we van aanbieders? Hoe leggen wij zelf gegevens vast. Wat kan wel? Wat kan absoluut niet? Laten we eerlijk zijn, we kunnen er uren over discussiëren en iedereen heeft er een eigen mening over, maar komen we zo wel tot de kern en de intentie van de AVG?
Natuurlijk zijn bijzondere persoonsgegevens (bijv. medische gegevens ed.) zeer gevoelig en verwachten wij, niet alleen van onszelf, maar ook van onze contractpartners dat deze gegevens veilig opgeslagen worden en alleen de personen die deze gegevens nodig hebben in hun werk, toegang hebben tot deze gegevens. Als gemeente heb je natuurlijk een zeer grote verantwoordelijkheid voor je burgers, een voorbeeldfunctie als overheid en vertrouwenspositie. Terecht! Dat is tevens de reden waarom de gemeente hierin ook een wettelijke uitzonderingspositie heeft m.b.t. deze gegevens. Echter wordt dat grijze gebied zo breed getrokken, dat we onszelf compleet vastzetten onder het mom van de AVG. We maken de AVG zo strikt voor onszelf, dat zelfs de zaken die niet beschreven worden, als beschreven worden beschouwd.
Als we het bijvoorbeeld hebben over algemene persoonsgegevens die ter communicatie dienen, zoals namen en mailadressen, zijn we snel geneigd om deze hetzelfde te behandelen als bijzondere gegevens, want ‘Better safe than sorry’. De AVG beschrijft nergens dat deze gegevens niet gedeeld mogen worden. De AVG stelt dat bedrijven en organisaties zelf een belangenafweging moeten maken ten aanzien van het verkrijgen, opslaan en delen van informatie en het doel van deze gegevens. Tot enkele jaren geleden stond nagenoeg iedereen nog in de gele gids. Hetgeen ik wil zeggen is dat wij intern en met contractpartners echt wel informatie mogen delen, zolang het doel van het delen hiervan maar nagestreefd wordt.
Het gevoel van ‘gevaar’ krijgt hierbij naar mijn mening steeds meer de overhand waardoor we ons krampachtig op de AVG staren, die ons het antwoord toch niet gaat geven. De AVG is dan ook zeker van toegevoegde waarde binnen het Sociaal Domein. We bezitten gewoon hele bijzondere gegevens en dat moet op een juiste wijze verkregen, verwerkt en opgeslagen worden, maar ten aanzien van algemene persoonsgegevens kunnen wij, naar mijn mening, beter ons boerenverstand gebruiken en een goede afweging maken, zonder er eindeloos over te vergaderen. Dan houden we ook meer tijd over voor het echte werk.
