Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) vorig jaar, denken veel organisaties dat ze geen persoonsgegevens meer mogen delen wanneer ze geen expliciete toestemming hebben. Onterecht, zegt ook Jay Remmelzwaal van het Juridisch adviesbureau ICT­Recht: ‘’De AVG laat veel toe, mits je maar goed uitlegt wat je aan het doen bent.’’  

...Jeroen Terstegge van Privacy Management Partners is het met Hut en Remmelzwaal eens: “Het is een grote misvatting dat je altijd expliciete toestemming nodig hebt om persoonsgegevens te delen en te verwerken. Toestemming is één grondslag waarop persoonsgegevens gedeeld mogen worden, maar daarnaast zijn er nog vijf. Het wordt tijd dat die duidelijker in beeld worden gebracht.” Een andere grondslag geldt wanneer het delen van gegevens noodzakelijk is voor de behartiging van ‘gerechtvaardigde belangen’, zoals het in kaart brengen van uitbuiting.

Jurist Remmelzwaal zegt dat het zonder toestemming in veel gevallen wel degelijk mogelijk is om persoonsgegevens te delen en te verwerken: “Als je goed uitlegt wat je aan het doen bent en kan aantonen waarom het nodig is om een bepaald doel te bereiken, dan mag het. Daarnaast moet je wel goed de afweging maken tussen de belangen van jouw organisatie en het privacybelang van de betrokken persoon.”

De Autoriteit Persoonsgegevens erkent dat de privacywet voor sommigen onduidelijk is en probeert bedrijven en brancheorganisaties per sector te adviseren. “De online campagnes zijn een stap in de goede richting, maar het is nog niet genoeg”, zegt Remmelzwaal. Hij ziet liever duidelijke richtlijnen die misverstanden helpen voorkomen. “Wat wel en niet mag bevindt zich momenteel nog in een grote grijze zone. Er is nood aan meer zwart en wit. Nieuwe richtlijnen kunnen daarbij helpen.”

Alles bij de bron; Trouw