Privacyrecht in advocatuur groot door AVG

Gerrit-Jan Zwenne (Pels Rijcken)
Gerrit-Jan Zwenne (Pels Rijcken)

Toen advocaat en wetenschapper Gerrit-Jan Zwenne in 2000 aan een uitgever voorstelde om een bundeltje over privacyrecht maken, kon hij niet op veel enthousiasme rekenen: “Daar is weinig belangstelling voor,” kreeg hij te horen. “Schrijf maar een boek over telecomrecht.” Inmiddels, zegt Zwenne, is het bundeltje wel uitgegeven en het loopt als een tierelier.

“Privacy is een belangrijk rechtsgebied geworden,” aldus Zwenne. Hij is advocaat-partner bij Pels Rijcken en hoogleraar ‘Recht en de Informatiemaatschappij’ aan de Universiteit Leiden. “Vroeger werden we als privacyadvocaten altijd een beetje weggestopt in de ict-sectie, en nu is privacyrecht een eigen praktijk.” Hij benadrukt dat het rechtsgebied meer omvat dan ict-recht, omdat het ook van toepassing is op papieren dossiers.

Elisabeth Thole, advocaat-partner bij Van Doorne, zegt dat je het vakgebied alleen kunt beoefenen als je je daar volledig op focust. “Alleen op die manier kun je het juiste advies geven, omdat je dan alle ontwikkelingen goed volgt.”

Veel werk

Olaf van Haperen (Eversheds Sutherland)

Volgens Olaf van Haperen, advocaat-partner bij Eversheds Sutherland, heeft de komst van de AVG heel veel werk heeft opgeleverd voor de advocatuur. “Gegevensbescherming in brede zin (ook gegevens van bedrijven) heeft een enorme vlucht genomen. Het gaat hackers vaak om bedrijfsgeheimen. Drie jaar geleden had ik in mijn praktijk twee fte op privacy zitten, nu vijf. En daar ben ik geen uitzondering in.”

Sinds 1 januari 2016, toen de meldplicht van datalekken van kracht werd, heeft de urgentie van het onderwerp zich ook genesteld in de hoofden van de bestuurders. Thole: “Het management realiseert zich meestal wel dat je een datalek binnen 72 uur moet melden.” Na 25 mei 2018 is dat bewustzijn verder toegenomen.” Er kwamen opleidingen, kantoren gingen eigen secties vormen, en de specialisatievereniging Vereniging Privacyrecht Advocaten (VPR-A) werd opgericht. Zwenne is voorzitter, Thole en Van Haperen zijn bestuursleden.

“Op zichzelf is het natuurlijk prima als mensen het vakgebied betreden,” vindt Zwenne. “Maar het is niet gezegd dat iemand die tien jaar arbeidsrecht heeft gedaan, ook meteen het privacyrecht beheerst. We zien wel dossiers waarin het in de voorfase geweldig is misgegaan.” Wie lid wil worden van de VPR-A moet voldoen aan een kennisvereiste en aantoonbaar minimaal vijf jaar actief zijn in het vak. De vereniging heeft het keurmerk van de NOvA gekregen.

Hacken als bedrijfsmodel

Hoewel cybersecurity in het bedrijfsleven beter op de radar staat dan drie jaar geleden, valt het Van Haperen op dat veel ondernemingen, waaronder ook advocatenkantoren, denken dat het allemaal wel meevalt. “Ze menen dat hun gegevens niet zo interessant zijn voor derden. Maar dat klopt niet, want hacken is een bedrijfsmodel. Cybercriminelen kijken vooral naar de waarde die de gegevens voor jou hebben. In negentig procent van de gevallen krijg je binnen een à twee weken na een hack een ransome request: ‘betalen of we publiceren je gegevens’.”

Op 28 juni waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat de digitale risico’s voor de nationale veiligheid onverminderd groot zijn. Volgens de NCTV  vormen spionage en sabotage een groot risico. “Ook de inzet van ransome ware door criminelen kan maatschappijontwrichtende gevolgen hebben,” meldt de NCTV in een persbericht. De dienst noemt de weerbaarheid tegen digitale inbraken onvoldoende.

Van Haperen herkent dat beeld. Volgens hem benutten lang niet alle ondernemers en advocatenkantoren de technische mogelijkheden voor gegevensbescherming. “Dan heb ik het over retentieperiodes (hoe lang bewaar je iets?), wachtwoordbeleid, tweefactoridentificatie en de sterkte van je firewalls.” Hij vindt dat de Nederlandse Orde van Advocaten meer aandacht moet hebben voor cybersecurity. “Je wordt als advocaat enorm gemonitord en gecontroleerd op je financiële huishouding en de Wwft, maar niet op je cyberbeveiliging.”

Mede door de forse sanctiemogelijkheden in de AVG heeft het rechtsgebied een enorme vlucht genomen, zegt Thole. Zij onderscheidt drie focusgebieden: het melden van datalekken, de handhaving door de Autoriteit Persoonsgegevens (AP) en vragen over internationale doorgifte van persoonsgegevens, bijvoorbeeld bij het gebruikmaken van Amerikaanse IT-leveranciers.

Veel paniek

“Omdat de AP vanaf 25 mei 2018 kon handhaven, was er in de aanloop veel paniek,” herinnert Thole zich. “Veel privacystatements zijn gedateerd op 25 mei 2018 om de deadline te halen.” Compliance vergt volgens haar voortdurend aandacht. “Wel is het accent van ons werk verschoven naar het bijstaan van cliënten bij procedures.”

De AP kan reageren op klachten maar kan ook uit eigen beweging vragen stellen. De toezichthouder komt meestal aangekondigd, zegt Zwenne. “De mensen van AP willen toegang tot systemen, en dan is het handig als de systeembeheerder beschikbaar is. Bij een onaangekondigd bezoek worden wij als advocaten gebeld. Je laat alles uit je handen vallen, rent naar de taxi, en in de taxi ga je bellen met kantoorgenoten en de cliënt.”

De advocaten staan de medewerkers bij tijdens verhoren. Zwenne: “De AP gebruikt traditionele verhoortechnieken, laat stiltes vallen, en hoopt dan dat de cliënt die gaat volpraten. Dat moet je niet doen.” De rol van advocaat is zorgen dat het bedrijf door kan. “Wij kijken of het nodig is dat de AP op alle afdelingen komt,” licht Zwenne toe. “Soms kan een gesprek ook in een kamertje apart. Wij briefen het personeel, wijzen ze op hun rechten en plichten.” Thole: “We kijken ook of de AP niet buiten haar bevoegdheden treedt.”

VoetbalTV

De AP heeft grote bevoegdheden: ze mogen onder meer in computers kijken en dossiers inzien. “Dat kan enorm belastend zijn,” zegt Zwenne. “Het zorgt voor veel onrust, mensen voelen zich geïntimideerd, zijn er nerveus over.” Hoe ingrijpend een onderzoek van de AP kan zijn, bleek bij VoetbalTV. Het bedrijf viel om nadat het was aangepakt door AP. Die vond dat VoetbalTV de privacy van spelers schond door camera’s te plaatsen bij voetbalwedstrijden. De rechter gaf de AP in deze zaak een gevoelige tik op de vingers.

“Gehackt worden heeft veel juridisch dimensies,” zegt Van Haperen. “Je moet een hack niet alleen melden bij de privacytoezichthouder, maar vaak ook bij de mensen en bedrijven van wie de gegevens zijn gehackt of bij beurstoezichthouders of het Nationaal Cyber Security Centrum (NCSC). Als bedrijfsinformatie is buitgemaakt, heeft het bedrijf geheimhoudingsplichten tegenover klanten geschonden, en dat kan juridische claims opleveren. In Nederland moet je 72 uur melden, in China soms binnen 24 uur. Dus bij een lek gaat de timer lopen. Als een multinational een lek heeft, dan heeft dat vaak gevolgen in veel landen waar dat bedrijf actief is. Dus dan ligt het voor de hand om zaken te doen met een groot kantoor dat wereldwijd actief is. Bij dit soort zaken zijn we met minimaal vijftien advocaten vaak zes tot zeven weken bezig. Maar we hebben ook een Nederlands kantoor met vijf advocaten geadviseerd, die bezig waren met een heel gevoelig strafrechtelijk dossier.”

Over civielrechtelijke claims bij datalekken gaat het proefschrift waarop wetenschapper Tim Walree (Radboud Universiteit) op 30 juni promoveert. Walree stelt dat de AP slechts een beperkte mankracht heeft en dat schadevergoedingen kunnen zorgen voor een betere handhaving van de AVG. “Als consumenten zelf via het civiele recht schadevergoedingen kunnen eisen, zorgt dat óók voor een financiële prikkel bij organisaties,” meent Walree. Nu zijn rechters vaak nog terughoudend met het toekennen van schadevergoedingen, omdat concrete schade ontbreekt. Walree bepleit daarom een nieuw begrip van vergoedbare schade.

In het Engels

Elisabeth Thole Van Doorne (Klein)-d4055b86
Elisabeth Thole (Van Doorne)

Er kwamen in 2020 ongeveer 60 datalekken per dag binnen bij het meldloket van de AP. De recente vernieuwing van de meldprocedure is beslist geen verbetering, zegt Thole. “Het kost meer tijd om het formulier in te vullen, en bovendien is het formulier alleen beschikbaar in het Nederlands. Wij vinden dat het ook in het Engels moet kunnen. Samen met de zustervereniging Vereniging Privacy Recht (VPR) willen wij vanuit het bestuur van de VPR-A onze leden bevragen over hun bevindingen met het nieuwe meldloket en vervolgens hierover met de AP in gesprek gaan.”

De kwaliteit van de gegevensbescherming binnen Nederlandse organisaties is wisselend, schat Zwenne in. “Ons beeld is natuurlijk beperkt, wij krijgen de cliënten die privacy belangrijk vinden. Maar we zien soms rare adviezen van gerenommeerde consultancykantoren voorbijkomen. Soms heel conservatief, en soms denkt men dat met gepseudonimiseerde data alles mag.”

Thole zegt dat privacy een steeds belangrijker onderdeel is geworden van due diligence onderzoeken bij bedrijfsovernames. “Als je dat onderzoek niet goed doet, dan kan dit later als een boemerang bij je terugkomen.” Ze verwijst naar de overname van Starwood door Marriott. “Doordat de kopende partij geen onderzoek had gedaan naar de beveiligingsmaatregelen van Starwoord, werd de hotelketen geconfronteerd met een oud datalek. Daarom legde de Engelse toezichthouder een boete op.”

Database

Bij een datalek spelen vaak ook andere problemen. “Bijvoorbeeld dat gegevens veel te lang bewaard zijn, of helemaal niet verzameld hadden mogen worden,” licht Thole toe. “In het worst case scenario moet je soms zelfs helemaal opnieuw beginnen met het opbouwen van je database.”

Internationale samenwerking met privacyadvocaten uit andere landen wordt steeds belangrijker, zegt Thole. “We treden vaak op voor multinationals. De AVG kent het principe van de one stop shop. Multinationals vallen onder het toezicht van de EU-toezichthouder waar zij hun hoofdvestiging hebben. Dat principe komt echter steeds meer onder druk te staan, hoewel het Europees Hof van Justitie zich recent nog achter het eenloketmechanisme heeft geschaard. Niet alle EU-toezichthouders treden even krachtig op. Ook is de samenwerking tussen de toezichthouders veelal inefficiënt en werkt die vertragend. Ondertussen kunnen multinationals geconfronteerd worden met individuele acties van lokale toezichthouders, die er soms weinig uniforme interpretaties op nahouden.”

Streng

Van Haperen zegt dat de AP binnen Europa bekendstaat als streng, en  hij betreurt dat. “We zijn onszelf klem aan het zetten. We vinden privacy zo belangrijk dat onze concurrentiepositie eronder lijdt. Steeds meer grote bedrijven krijgen daar last van en moeten heel veel kosten maken om compliant te worden. Veel landen buiten de EU gaan hier veel soepeler mee om.”
Hij concludeert uit het vonnis over VoetbalTV dat ook de rechtbank het beleid van de AP te strikt vindt. “Het is een belangrijke uitspraak omdat de visie van de AP wordt getoetst. Er gaan nog veel van dit soort zaken komen.”
Het privacyrecht blijft in beweging.

Het bericht Privacyrecht in advocatuur groot door AVG verscheen eerst op Mr. Online.

Bron

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *