Het is mooi dat privacy een veelbesproken onderwerp is. Velen kennen het woord privacy en weten dat er op wettelijk gebied hierover iets geregeld is, maar wat precies is lang niet altijd duidelijk. Er zijn dan ook genoeg issues waarover vragen worden gesteld.
De vraag bijvoorbeeld of een zieke medewerker een bloemetje van de collega’s mag ontvangen. Daarvoor is het privé-adres van de zieke medewerker nodig en het vooroordeel is dat dit om privacy redenen niet verstrekt mag worden. Maar een zieke medewerker een blijk van medeleven tonen; dat kan toch niet fout zijn?
De AVG is er voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens maar tegelijkertijd ook voor het vrije verkeer van persoonsgegevens (zie art. 1). Een verwerking is in de AVG heel breed gedefinieerd; vrijwel alles wat met persoonsgegevens wordt gedaan valt onder de definitie en daarmee onder de AVG. Het adres van een zieke medewerker uit een (geautomatiseerd) bestand halen (voor de verzending van het bloemetje) is een verwerking.
Deze verwerking is niet verboden in de zin van de wet, immers dat staat niet genoemd. Ook is het geen grootschalige verwerking op zichzelf. Wel is het belangrijk dat je weet wat met persoonsdata wordt gedaan als jij de beheerder bent van dat bestand. Daarover moet je verantwoording kunnen afleggen. Dat doe je onder andere in je privacy verklaring en in het verwerkingsregister.
Het sturen van een bloemetje moet natuurlijk kunnen. Ik ga er vanuit dat het adres eenmalig wordt verstrekt en niet (elders) bewaard gaat worden. Op verschillende manieren kan je borgen dat het veilig en gewenst gebeurt. Dit is een casus waarbij normale omgangsvormen gecombineerd worden met wettelijke regels. Indien je dat bewust doet en transparant bent, zal er geen probleem zijn. De uitspraak ‘dat het vanuit de privacywet is verboden’ is hier niet op zijn plaats.