Overzicht Actueel

DDMA levert input voor herziening EDPB Guideline Gerechtvaardigd Belang

Wie persoonsgegevens wil verwerken voor marketingdoeleinden, heeft een AVG-grondslag (ook wel rechtsgrond) nodig. In onze sector is dat meestal het gerechtvaardigd belang of toestemming. De manier waarop die grondslagen worden uitgelegd zijn daarom van groot belang. Op dit moment herziet de EDPB, de Europese Koepel van privacytoezichthouders, de opinie over het gerechtvaardigd belang. Die opinie dateert alweer van 2014, en is dus toe aan een AVG-update. Als senior legal counsel was ik namens DDMA aanwezig bij de Legitimate Interest Stakeholder Workshop van de EDPB om input te leveren. Hieronder vat ik de belangrijkste onderwerpen samen.

Welke belangen zijn gerechtvaardigd?
De eerste sessie ging over de vraag: welke belangen zijn ‘gerechtvaardigd’ en welke niet? Hoewel direct marketing in overweging 47 van de AVG benoemd wordt als een gerechtvaardigd belang is hier het afgelopen jaar enige onduidelijkheid over ontstaan. Dat gebeurde nadat de Autoriteit Persoonsgegevens (AP) de Normuitleg gerechtvaardigd belang uitbracht, een controversiële uitleg die hen op veel kritiek kwam te staan. Medio november werd de AP op diezelfde uitleg gecorrigeerd door een rechter. Tijdens de stakeholderworkshop leken de deelnemers het ook eens dat een gerechtvaardigd belang ieder belang kan zijn, mits het niet bij wet verboden is. De vraag of het gerechtvaardigd belang daadwerkelijk een geschikte grondslag is voor een specifieke verwerking komt aan bod bij de tweede en derde stap van de gerechtvaardigd belang-afweging:

  • Is de verwerking noodzakelijk voor het beoogde doel (Staat het middel in verhouding tot het doel?)
  • De belangenafweging (wegen de belangen van de verwerkingsverantwoordelijke zwaarder dan de impact op de betrokkene?)

Rechten en ‘redelijke verwachting’ van de betrokkene
Tijdens het tweede deel van de sessie werd ingezoomd op de betrokkene:

  • Hoe breng je de risico’s voor de betrokkene in kaart?
  • Hoe ga je om met de extra risico’s in het geval van kinderen?
  • De redelijke verwachting van de betrokkene

Met name het laatste punt was een veelbesproken onderwerp. Dit is niet verwonderlijk aangezien dit een van de weinige punten is die daadwerkelijk veranderd is met de komst van de AVG. Je moet er als verwerkingsverantwoordelijke voor zorgen dat je verwerking niet afwijkt van de ‘redelijke verwachting van de betrokkene’. Maar hoe doe je dat? Toezichthouders door heel Europa interpreteren dat begrip op een andere manier. Zo zien we bijvoorbeeld dat de Belgische Gegevensbeschermingsautoriteit in haar aanbevelingen stelt dat het verwerken van gegevens van niet-klanten op grond van het gerechtvaardigd belang niet binnen die verwachting valt. FEDMA en DDMA hebben ervoor gepleit om die afweging bij de verwerkingsverantwoordelijke te laten. Uiteraard sluit een verwerking bij een klantrelatie sneller aan bij de verwachting van de klant, maar het is niet in zijn algemeenheid te zeggen dat dit bij prospects niet het geval kan zijn. De mate van transparantie van de adverteerder speelt daarbij uiteraard een belangrijke rol.

Methodiek van de belangenafweging
Het afwegen van de belangen van je organisatie en eventuele derden tegenover de belangen van de betrokkene is niet eenvoudig. Tijdens de workshop werd duidelijk dat er in de meeste sectoren gebruik gemaakt wordt van Legitimate Interest Assessment (LIA) templates zoals dat van de Britse toezichthouder ICO of dit template dat DDMA beschikbaar stelt voor leden. Tijdens de workshop werd door de toezichthouders in detail gevraagd hoe organisaties die afweging maken, hoe de risico’s voor betrokkenen beperkt worden, en hoe uiteindelijk besloten wordt wiens belangen zwaarder wegen. In verschillende groepen werd gepleit voor een Europees raamwerk voor die afweging, om te zorgen dat het door de EU zoveel mogelijk op eenzelfde manier gebeurt. Privacy-activisten pleitten ervoor om organisaties te verplichten de belangenafweging te verstrekken aan betrokkenen wanneer die daarom vragen. Die verplichting staat niet in de AVG. DDMA en FEDMA hebben aangegeven dat we het belangrijk vinden dat betrokkenen erop kunnen vertrouwen dat bedrijven een zorgvuldige afweging maken, en dat het daarom een ‘best practice’ is om die afweging te verstrekken.

Algemene punten t.a.v. gerechtvaardigd belang
In het laatste deel van de workshop werd er in het algemeen besproken hoe er tegen het gerechtvaardigd belang als grondslag wordt aangekeken, en wat sectoren van de EDPB nodig hadden als ‘guidance’ in het nieuwe voorlichtingsdocument. DDMA en FEDMA hebben benadrukt dat de bestaande guideline inhoudelijk nog klopt, en dat er met de komst van de AVG geen aanleiding is om daar anders naar te kijken. Ook wilden we benadrukken dat er geen hiërarchie is in grondslagen, dat gerechtvaardigd belang niet ondergeschikt is aan toestemming, mits op de juiste manier toegepast uiteraard. Daarnaast wilden we ervoor waarschuwen om geen lijsten te maken van verwerkingen die nooit op grond van gerechtvaardigd belang kunnen. We vinden het belangrijk dat er ruimte blijft voor de verwerkingsverantwoordelijke om in een specifieke context een beoordeling te maken.

Nadien werd iedere sessie samengevat door de begeleidende toezichthouders achteraf. Daarbij kwam o.a. naar voren dat ze in de guideline meer aandacht willen besteden aan de methodologie voor de belangenafweging, in de vorm van een ‘toolbox’ met eventueel specifieke guidelines voor het MKB. Ze benadrukten dat hun doel is om consistentie te bereiken.

Wanneer wordt de nieuwe guideline verwacht?
Volgens de aanwezige toezichthouders is het eerder een kwestie van maanden dan van weken voordat de conceptversie wordt uitgebracht. Dan is er de gebruikelijke consultatieperiode waarin stakeholders nogmaals input kunnen leveren, waarna de EDPB de guideline definitief maakt.