Moeders wijsheid

We mopperen wel eens over de AVG, de Algemene Verordening Gegevensbescherming. ‘Niks mag meer.’ Ook in gemeenteland hoor je dat de schulphulpverlening of jeugdzorg erdoor worden ondermijnd. Of dat veiligheidsoperaties in het gedrang komen. ‘De AVG verbiedt van alles.’

Omdat ik een tijdje bij de Autoriteit Persoonsgegevens werkte, heb ik me kunnen verdiepen in deze Europese verordening. Zelf denk ik dat deze problemen niet zozeer te wijten zijn aan de AVG. Sterker, wie zegt dat de AVG ‘juridisch strak is’, heeft die mogelijk niet precies gelezen. Deze verordening blinkt juist uit in het níet-regelen. Zij regelt vooral hoe je zelf aan de slag moet, geleid door principes van gegevensbescherming. En ten aanzien van het zélf nadenken, tja…daar wringt vaak de schoen.

Zodra professsionals zeggen ‘dát het niet van de AVG mag’, is het goed om daar dus eens op door te vragen. Een moeder vertelde mij dat ze zich zorgen maakte over haar dochter die in een instelling verbleef en hoe zij zich als ouder buitengesloten voelde door de zorgorganisatie. ‘Steeds krijg ik te horen dat ze door de AVG niks meer met me kunnen delen nu ze 18 is geworden. Heb ik geen recht als moeder om te weten hoe het met mijn kind gaat?’

Hoe moet zo’n zorgorganisatie hier nu mee omgaan? Een algemeen sorry-het-mag-niet-meer-want-AVG, is op zijn minst discutabel. De moeder gaf aan dat ze te maken had met meerdere publieke zorgorganisaties. Ze merkte dat sommige hulpverleners haar wel opbelden, op de hoogte hielden en soms aangaven dat ze ‘omwille van de privacy niet in details konden treden’. Dat luchtte haar op. Maar ja…is dit AVG-technisch in orde?

Bij toeval is de AVG niet een soort Wetboek van Strafrecht geworden, waarin staat wat verboden is. Bij de wetsontwikkeling schoof iemand aan tafel met verstand van ‘risicomanagement’. Het (techno-optimistische) idee was dat met het vrije verkeer van data een hoop nieuwe verwerkingen zouden plaatsvinden in een digitale economie en dat je die niet op voorhand allemaal moest verbieden, juist ook omdat die positieve dingen kunnen opleveren. Maar dat je de risico’s wel tijdig in beeld moet krijgen en in de kiem moet smoren. En daardoor ontstonden allerlei organisatieverplichtingen voor het hanteren van een risicomanagementsysteem rond gegevensbescherming; zoals de Functionaris Gegevensbescherming (FG) en specifieke ISO-normen.

Zodra technische termen als ‘Data Protection Impact Assessement’ vallen, gebeurt er iets opmerkelijks. Dan gaat de techniek het gesprek over waarden overvleugelen. Ineens gaat het over de vraag of iets wel of niet mag op basis van een artikel, in plaats van of iets rechtvaardig is in een gegeven context. In zekere zin biedt de AVG professionals meer ruimte. In plaats van blaming the rules zou ik daarom claiming the tools adviseren. Mogelijk kan het volgende daarbij behulpzaam zijn.

Sinds kort heb ik een fotogalarij van oud-ombudslieden. Een beetje ook om de ambtsdragers die me voorgingen te eren. En dan zie ik Ulco van de Pol. Hij bekleedde het ambt van 2005 tot 2013 en introduceerde het ‘moedercriterium’. Daaronder verstond hij: behandel de burger zoals u uw moeder zou behandelen. Het gemeentelijk handelen werd daaraan getoetst. Kort en simpel. Zo’n moedercriterium is best een handig lampje bij het lezen van de uitgebreide AVG-handleidingen.