Dat de Sint ieder jaar een jaartje ouder wordt, dat weet iedereen. Toch zal hij mee moeten met de huidige technologische tijd en de AVG is daar nu eenmaal onderdeel van. Is ‘het Grote Boek van Sinterklaas’ nog wel mogelijk met de AVG? En hoe is dit beveiligd tegen kwaadwillende?
Algemene verordening gegevensbescherming (AVG): hoe zit het ook alweer?
Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (AVG). Tweeënhalf jaar later zijn de meeste organisaties wel zo ver dat zij de AVG op een goede manier naleven. Mochten ze dit niet doen dan krijgen ze te maken met de Autoriteit Persoonsgegevens (AP). De AP is een zelfstandig bestuursorgaanorgaan en is toezichthouder op het gebied van de naleving van de AVG in Nederland. Zij heeft als taak het toezicht op het verwerken van persoonsgegevens. Doordat de Autoriteit Persoonsgegevens onafhankelijk is, brengt zij gevraagd en ongevraagd advies uit aan de wetgever.
De AVG en Sinterklaas
Maar hoe verhoudt de AVG zich ten opzichte van Sinterklaas? Vooral het Grote Boek van de Goedheiligman lijkt op het eerste oog de nodige mankementen te vertonen. Dit lijkt namelijk een verwerking van persoonsgegevens te zijn waar de nodige vraagtekens bij geplaatst kunnen worden. De enige reden waarom er lijkt staat in de vorige zin is, omdat er van enige transparantie geen sprake is. Niemand weet exact wat er in het boek staat. Heb je op je tiende een snoepje gestolen bij de Kruidvat, krijg je dat op je dertigste opeens weer te horen. Daar sta je niet op te wachten als je samen met jouw kind de Sint weer ziet tijdens de intocht. En hebben jouw ouders wel toestemming gegeven om jou op zo’n jonge leeftijd op te nemen in het Grote Boek? Redenen genoeg om de werkwijze van de Sint en zijn Pieten onder de loep te nemen.
Persoonsgegevens verzamelen
Je mag niet zomaar persoonsgegevens verzamelen. Dat is bij de meesten onderhand toch wel bekend. Je hebt daar namelijk een bepaalde grondslag voor nodig. De meest gebruikelijke grondslag waar een consument direct bij betrokken is, is die waarbij de consument toestemming heeft gegeven voor het gebruik van zijn gegevens. Je inschrijven voor een nieuwsbrief bij een webshop is hier een goed voorbeeld van. Andere gronden zijn:
– Vitale belangen
– Wettelijke verplichting
– Overeenkomst
– Algemeen belang
– Gerechtvaardigd belang
In het geval van Sinterklaas zou je kunnen twisten of hij een gerechtvaardigd belang heeft. Als hij niet beschikt over de namen en adressen van de kinderen, hoe kan hij ze dan verblijden met cadeaus waar de kinderen tenslotte zelf om vragen? Toch zouden wij de Sint aanraden om toestemming te vragen bij de ouders van de kinderen. Ieder kind jonger dan 16 jaar kan niet zelf toestemming geven en dan wordt dit gedaan door een ouder of voogd. Een simpele quickclaim in de schoen de volgende keer moet hier voldoen.
De Sint organisatie
Hoe de organisatie van de Sint er precies uitziet weet niemand. Dat hij flink wat hulp heeft is wel duidelijk. Het lijkt ons dan ook zeer verstandig dat de Goedheiligman een Functionaris Gegevensbescherming (FG) benoemd die hem kan adviseren en ondersteunen in alle taken die te maken hebben met privacy. Op deze manier kan hij zich focussen op zijn kerntaken. De kerntaken waar hij zo om bekend staat. Mochten er kinderen of ouders zich beroepen op één van hun rechten, dan kan de FG deze taken op het terrein van privacy op zich nemen. Door de AVG heb je als consument namelijk ook flink wat rechten die soms vergeten worden:
– Recht om in te zien
– Recht om te wijzigen
– Recht om vergeten te worden
– Recht om gegevens over te dragen
– Recht op informatie
Op enkele van bovenstaande punten wrikt de schoen. Zowel het recht om in te zien, als het recht om te wijzigen en het recht om vergeten te worden lijken in het woordenboek van de Sint niet voor te komen. Wellicht is het aan te raden om het Grote Boek digitaal te maken en in te laten zien via DigiD. Op deze manier kan iedereen zijn of haar informatie inzien en suggesties doen om deze te wijzigen of zich te beroepen op het recht van vergetelheid.
Het Grote boek van Sinterklaas
Dat het Grote Boek van Sinterklaas een uitdaging is met de AVG hebben we eerder al benoemd. Wat de Sint hierin opschrijft is onduidelijk, maar ook hoelang dit wordt opgeslagen. In de meeste gevallen zit hier een bepaalde termijn aan vast. Daarnaast mag de Sint alleen relevante informatie opslaan. Naam en adresgegevens zijn bijvoorbeeld te rechtvaardigen, maar de behaalde schoolcijfers zijn voor hem niet relevant. Deze niet relevante informatie mag dan ook niet opgeslagen worden of er moet een gerechtvaardigd belang zijn.
En de tegenprestatie voor zulke belangrijke gegevens? Dit is nogal dubieus zoals Laura (9 jaar) aangeeft: “Sorry hoor, maar mijn persoonsgegevens zijn meer waard dan een chocoladeletter”
Kans op datalekken
Ook is de kans op een datalek groot met een fysiek boek. Ligt dit boek bijvoorbeeld wel veilig achter slot en grendel? Of ligt dit altijd open op het bureau van de Sint? En is het boek zelf goed beveiligd met een zekere vorm van tweetraps verificatie? Ook het melden van mogelijke datalekken zorgt voor een probleem. Wordt het wel gemeld door de Sint bij de AP als iemand meekijkt in het boek die hier geen rechten toe heeft? Zo zie je maar dat een fysiek boek nogal zijn beperkingen kent. Niet voor niets zijn bij de meeste bedrijven bijvoorbeeld USB sticks al verbannen.
Sinterklaas 2021
De Sint heeft nogal wat zaken op te pakken, maar waar moet je beginnen? Omdat wij de beroerdste niet zijn willen wij hem graag helpen om ervoor te zorgen dat hij komend jaar alles perfect in orde heeft. Met een Navaio specialist aan zijn zijde kan hij blijven doen wat hij graag doet, zonder zich zorgen te moeten maken om de AVG en alle zaken daar om heen.
Leave A Comment