Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is ontworpen om degenen wiens gegevens verwerkt worden aan het roer te zetten en te ondersteunen bij het stellen van de eisen. Toch lijkt dat niet voor alle aspecten te zijn gelukt.
De AVG formuleert duidelijk welke rechten je als betrokkene hebt en er is helder gespecificeerd op welke wijze je als betrokkene moet worden geïnformeerd over de verwerking van je persoonsgegevens. Daarnaast bevat de AVG ook normen die aangeven waaraan contracten met verwerkers en subverwerkers moeten voldoen. Een groot aantal duidelijk normerende artikelen.
Toch is er één aspect waarmee de AVG je niet helpt: hoe worden je persoonsgegevens beschermd.
De AVG stelt dat een verwerkingsverantwoordelijke ‘passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen’. Te midden van rule-based vereisten lijkt dit de vreemde eend in de bijt; een ‘principle-based’ vereiste. De AVG geeft geen normering over wat dan passend is. De security community papegaait de security-mantra na: ‘wat passend is moet blijken uit een risico analyse’.
Hoe je het ook wendt of keert; de bescherming van de persoonsgegevens is een vereiste die een groot grijs gebied laat. Het resultaat daarvan is dat de AVG je niet veel helpt in het afdwingen van voldoende maatregelen om je persoonsgegevens te beschermen, en pas waarde krijgt in geval van een incident. Als het kalf verdronken is blijkt pas dat het niet passend was.
Wij zouden graag zien dat ook het artikel over de bescherming van persoonsgegevens meer normerend wordt. Op die manier kan de AVG ook vóórdat incidenten plaatsvinden als handreiking dienen om te bepalen wat passend is.