Van je huisarts tot internationale webwinkels: alle in Europa gevestigde organisaties moeten vanaf 25 mei zorgvuldiger omgaan met de privacy van burgers. De Algemene Verordening Gegevensbescherming (AVG) die dan ingaat, verplicht ze om allerlei maatregelen te treffen. Burgers krijgen meer rechten, zoals inzagerecht, rectificatierecht en right to be forgotten (vergeetrecht).
Dat bedrijven en organisaties de laatste tijd druk bezig zijn de privacy beter te regelen, hebben ze alle reden toe, want de toezichthouder — in Nederland is dit de Autoriteit Persoonsgegevens (AP) — kan hoge boetes opleggen als ze inbreuk maken op de wet. Ondertussen vraag ik me af hoe de AVG uitpakt voor mijn bedrijf. Ik ben onafhankelijk journalist. Daarnaast doe ik uiteenlopende opdrachten voor organisaties, overheden en bedrijven. Waar moet ik — en met mij veel zelfstandige collega’s — wettelijk aan voldoen?
Ik heb geen personeel, en geen particulieren als klant, dus daar hoef ik geen privacymaatregelen voor te nemen. Wel heb ik in de loop der jaren allerlei informatie van, en over personen vergaard voor mijn werk. Er zijn projectmappen met papieren archiefstukken; in de kast staan een Rolodex en een doos met diskettes en geluidsopnamen. Ik heb kopieën van vorige computers en op mijn huidige apparaat staat ook alweer jaren werk. Met één druk op de knop staan de NAW-gegevens van nieuwe contacten in mijn digitale adresboek.
Welbeschouwd gaat het om gegevens die ik voor nieuwsgaring gebruik en informatie die bij commerciële opdrachten hoort. Gelden er nu twee privacy-regimes? En wat zijn de verplichtingen dan? Daar wil ik meer duidelijkheid over hebben.
Eisen aan journalistiek
Welke privacy-eisen worden er aan de journalistiek gesteld? Volgens de AVG moet elke EU-lidstaat zelf het grondrecht ‘bescherming van persoonsgegevens’ in overeenstemming brengen met het grondrecht ‘vrijheid van meningsuiting en van informatie’ (art. 85). Interessant is dat de AVG ook stelt dat de begrippen die betrekking hebben op die vrijheid van meningsuiting — zoals journalistiek — ruim moeten worden uitgelegd.
De bal ligt dus bij de Nederlandse overheid. De Uitvoeringswet (UAVG), die op 15 mei nog door de Eerste Kamer wordt behandeld, regelt dat veel privacyrechten niet gelden als gegevens voor journalistieke doelen gebruikt worden. Als het gevoelige persoonsgegevens zijn, zoals over iemands geloof, of ras (zie kader), dan mag je die alleen verwerken als dit noodzakelijk is voor het journalistieke doel. Hoewel datalekken aan de AP gemeld moeten worden, geldt dit niet voor datalekken van persoonsgegevens voor journalistieke doeleinden.
Heikel punt
Voor de journalistiek gelden dus veel uitzonderingen. Toch regelt de Uitvoeringswet niet alles voor de journalistieke praktijk. Een heikel punt is bijvoorbeeld dat het in principe wel verboden is om persoonsgegevens langer te bewaren ‘dan noodzakelijk is’. Dit is een van de regels die problemen kunnen opleveren, vindt onder anderen GroenLinks-Kamerlid Kathalijne Buitenweg. Ze diende dan ook een amendement in om de journalistieke excepties op te rekken en duidelijker te maken. Volgens Buitenweg benut Nederland de ruimte die de AVG biedt onvoldoende en bestaat hierdoor de kans dat journalisten niet goed hun werk kunnen doen.
Buitenweg: ‘Stel je verzamelt gegevens van Joodse Amsterdammers omdat je een artikel wilt schrijven over de erfpacht die gedeporteerde en ondergedoken Joden na de oorlog moesten betalen. Dat zijn gevoelige persoonsgegevens. Zolang je ze voor nieuwsgaring wilt gebruiken, mag je die zonder toestemming in je database hebben. Maar wat als je dat nog aan het onderzoeken bent? Wat als je bepaalde informatie misschien niet nu gebruikt, maar misschien volgend jaar wel? Dit is nog steeds niet goed geregeld.’
Buitenweg: ‘Als het onduidelijk is of je data gaat gebruiken voor nieuwsgaring, werk je volgens mij in strijd met de AVG. De mogelijke gevolgen heb ik nu niet in kaart.’ Haar amendement – dat gesteund werd door de NVJ en NDP Nieuwsmedia — werd echter niet aangenomen. Wel zegde minister voor rechtsbescherming Sander Dekker toe dat hij na de zomer met een brief komt en dat na een halfjaar geëvalueerd wordt hoe de AVG in de praktijk uitpakt.
Voor mijn werk als journalist zijn er dus allerlei uitzonderingen op de AVG, maar er zijn nog open einden: eventuele privacy-voorschriften kunnen toch een rol spelen. De tijd zal het leren.
Commerciële opdrachten
Ik ben benieuwd wat het tweede deel van mijn zoektocht oplevert: de meer commerciële opdrachten. Aan welke privacyregels moet ik voldoen als ik bijvoorbeeld de namen van huurders gebruik voor een opdracht van een woningcorporatie? En de gesprekken die ik heb met patiënten voor een publicatie van een academisch ziekenhuis, mag ik die opslaan? Een belangrijke regel is dat je gegevens alleen mag gebruiken voor het doel waar je ze voor hebt verzameld. Zijn er andere eisen?
Antwoorden op dit soort vragen zijn blijkbaar niet zonneklaar. Meerdere juristen geven niet thuis, of laten weten zich eerst beter in de wet te willen verdiepen. ‘Er zijn wel duizend interpretatievragen te bedenken, en dit is er een van’, zegt een advocaat.
Advocaat Gerrit-Jan Zwenne, gespecialiseerd in privacyrecht, is wel beschikbaar hierover vragen te beantwoorden. Volgens hem wordt de soep waarschijnlijk niet zo heet gegeten. Zwenne: ‘Het Europese Hof van Justitie heeft in een Finse zaak de term ‘journalistiek’ ruim uitgelegd: het gaat om de informatievrijheid. In beginsel valt alles wat in kleine of grotere kring openbaar gemaakt wordt, en bijdraagt aan het publieke debat eronder. Verdedigbaar is dat daaronder ook het jaarverslag valt dat je voor een bedrijf schrijft.’
De term ‘journalistiek’ blijkt cruciaal. De woordvoerster van de Autoriteit Persoonsgegevens laat per e-mail weten dat de AP welzeker toezicht houdt wanneer journalisten persoonsgegevens voor niet-uitsluitend journalistieke doeleinden verwerken. De AP houdt ook toezicht op de vraag of iemand terecht een beroep doet op de journalistieke exceptie, al dan niet getoetst door de rechter. Wanneer er geen uitsluitend journalistieke doeleinden zijn, betekent dit dat de gewone AVG-regels gelden, ook het opstellen van een privacyverklaring, aldus de woordvoerster.
Technische oplossingen
Alle hens aan dek, want technisch zijn er ook de nodige eisen voor databescherming. Gerrit-Jan Zwenne: ‘Je moet passende technische en organisatorische beveiligingsmaatregelen hebben getroffen. Ook een journalist moet met gezondheidsgegevens voorzichtiger omspringen dan met NAW-gegevens. Het zijn steeds belangenafwegingen,’ vertelt hij. ‘Je hoeft niet de best denkbare beveiliging te hebben; wel één die passend is, en aansluit bij de stand van de techniek. De virusscanner van vorig jaar moet je updaten.’
Ik verwacht dat zelfstandig journalisten op dit vlak slagen kunnen maken: een slot op de kast, persoonsgegevens waar nodig pseudoniem maken, je uitgaande e-mail met gevoelige informatie voortaan versleuteld versturen. Ook moet je overeenkomsten sluiten met bijvoorbeeld ict-diensten en cloudopslag waarin ze een passend beveiligingsniveau garanderen. Al je devices moeten een wachtwoord hebben. Dit geldt al helemaal voor zelfstandigen die hun computer met gezinsleden delen.
Oude archieven
En de archieven uit het verleden? Advocaat Zwenne: ‘Als je informatie alleen voor jezelf bewaart, heb je ook een uitzondering, namelijk die voor persoonlijke of huishoudelijke doeleinden. Het feit dat die gegevens met je werk te maken hebben, doet daar niets aan af. Als dit niet opgaat, kun je mogelijk gebruikmaken van de uitzondering voor journalistieke doeleinden, zodat je niet aan allerlei formaliteiten hoeft te voldoen.’
Of deze redenering stand houdt, zal in de praktijk blijken. Wie als journalist een gemengd bedrijf heeft, kan zich er beter niet met een jantje-van-leiden van af maken. De opgeslagen persoonsgegevens nog eens nalopen om te bedenken met welk doel je die hebt verzameld. In een privacyverklaring die je als het kan op je website plaatst, kun je toelichten hoe je omgaat met persoonsgegevens. Verder lijkt het nu vooral afwachten hoe de AVG geïnterpreteerd gaat worden de komende jaren.
————————–
Persoonsgegevens en ‘verwerken’
Persoonsgegevens is alle informatie die direct over iemand gaat, en ook die waaruit je iemand kunt herleiden: geschreven, beeld en geluid. Alles wat je met die gegevens kunt doen, noemt de wetgever ‘verwerken’. Denk aan: verzamelen, vastleggen, ordenen, bewaren, opvragen, raadplegen, delen, wijzigen, vernietigen en zo meer. In het algemeen geldt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is. Is het doel waarvoor ze verzameld zijn bereikt, dan moeten ze vernietigd of teruggegeven worden. Privé mag je je adresboekje gewoon vullen, maar een bedrijf of organisatie moet een wettelijke grondslag hebben om dit te doen.
Er zijn drie soorten persoonsgegevens:
1) Persoonsgegevens zoals naam, adres, woonplaats, telefoonnummers en persoonsgebonden e-mailadressen. Ook die bij je werkgever: janjansen@krant.nl. Deze gegevens mogen alleen verwerkt worden als minstens één van de zes wettelijke grondslagen van toepassing is, onder andere toestemming van de betreffende persoon.
2) Bijzondere persoonsgegevens worden extra beschermd: informatie over iemands seksuele leven of gerichtheid, godsdienst of levensovertuiging, politieke voorkeur, ras, lidmaatschap van een vakbond, en alles wat wijst op iemands gezondheid. Een bedrijf mag deze niet verwerken, behalve als het zich kan beroepen op een van de tien wettelijke uitzonderingen.
O.a. hierdoor kunnen medische zorgverleners hun werk nog doen en kunnen politieke partijen en kerkgemeenschappen nog voortbestaan.
3) Strafrechtelijke persoonsgegevens zijn zo beschermd, dat haast geen organisatie ze mag verwerken.