Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

“Catch 22” in de AVG?

In zijn beroemde boek Catch 22 beschrijft Joseph Heller een aantal situaties uit WOII die echt absurd overkomen, maar praktisch gezien kennelijk helemaal niet zo irreëel zijn. Eén bepaalde situatie gaat over een arts bij de luchtmacht, ene Doc Daneeka, die zich, om aan wat extra soldij te komen, laat inschrijven als lid van een operationele vliegtuigbemanning. Hij vliegt echter zelf nooit mee. Het vliegtuig wordt uiteindelijk neergehaald en de bemanning komt om. Zo ook dus Doc Daneeka, althans op papier! En hier komt de AVG in het spel: de “gewiste” arts komt dus in allerlei moeilijkheden want hij bestaat dus niet meer, maar is er nog wel...

Idiote situatie? Helemaal niet! De omgekeerde situatie bestaat namelijk ook.
Artikel 17 AVG geeft Betrokkenen (helaas: de AVG heeft weinig aansprekende aanduidingen voor mensen…) het recht op “vergetelheid”; alle gegevens van Betrokkene moeten worden gewist; Betrokkene heeft kennelijk geen belang meer in “verwerking” of wenst om niet meer te worden gecontacteerd. Volgens artikel 19 AVG moet je die Betrokkene, eenmaal gewist, dan ook nog eens daarvan in kennis stellen. Hier bespeur ik al een beetje Catch22...

Maar wat wanneer er nu een “ongeluk” plaatsvindt; de gegevens van een Betrokkene komen op een of andere manier weer te voorschijn en in een verwerking terecht? Dan wordt Betrokkene, bijvoorbeeld voor DM-doeleinden, dus weer gecontacteerd!

Maar is dat nu wel de bedoeling? Volgens Check-Privacy niet! Alleen het eigen initiatief van Betrokkene kan en mag hem weer doen opnemen in een verwerking. Check-Privacy stelt dan ook voor om bij een verzoek tot wissen een soort van eigen, maar lokale “bel-me-niet”-register in te stellen. Van een Betrokkene wordt het meest voor de hand liggende gegeven bewaard. Dat zal meestal het e-mail-adres zijn. Maar telefoonnummer mag natuurlijk ook.
Dit bestand wordt natuurlijk uitgezonderd van enige operationele verwerking. Het wordt echter wel gebruikt in iedere verwerking, namelijk om, vooraf, een check te doen op gewiste Betrokkenen; “bel-me-niet”! In het geval dat Betrokkene om een of andere reden toch weer in de verwerking terecht is gekomen, kan dan Betrokkene op de valreep wordt “beperkt”.
Andersom werkt dat natuurlijk ook; mocht Betrokkene zich weer aanmelden voor verwerking, dan moet het bel-me-niet-register natuurlijk ook worden aangepast…

Ik ben benieuwd wat de AP daarvan vindt want het is natuurlijk geheel tegen de grammaticale benadering van de AVG. Is de AP gevoelig voor een beetje teleologische benadering….?

mr. ir. R. van Dam
check-privacy.nl

Afdrukken