Nieuwe privacyregels AVG inbouwen in systeem

Privacy adviseur Koen Versmissen beschrijft in Grip op de AVG wat organisaties moeten doen om volgend jaar zomer te voldoen aan de eisen van de nieuwe privacywetgeving. Er staan eigenlijk niet eens zo heel veel nieuwe regels in. Maar veel bedrijven en instellingen denken nu pas serieus na over dataprotectie. Het wordt ook hoog tijd.

 

Waar staat AVG voor? Aardappelen, Vlees en Groenten?

Ook. Maar wij bedoelen de Algemene Verordening Gegevensbescherming. Dat is een Europese privacywet die op 28 mei 2018 gaat gelden voor iedereen die persoonsgegevens verwerkt. En alle ondernemingen doen dat.

Waarom is grip nodig?

Omdat er een paar belangrijke vernieuwingen in staan ten opzichte van de huidige privacywetgeving. Zo staat er niet alleen in onder welke voorwaarden je persoonsgegevens mag verwerken. De wet stelt ook eisen aan de organisatie, die effectieve maatregelen moet nemen om goed om te gaan met persoonsgegevens. De effectiviteit van die maatregelen moet je kunnen aantonen.

Aan wat voor maatregelen moeten we dan denken?

Dat kan van alles zijn. Je moet bijvoorbeeld je medewerkers voldoende trainen, zodat zij netjes omgaan met persoonsgegevens. Je moet vaststellen wie waarvoor verantwoordelijk is en eventueel een Functionaris Gegevensbescherming aanstellen. Dat is een interne toezichthouder, die ook over privacy adviseert. Het mkb moet alleen zo’n functionaris aanstellen als het op grote schaal bijzondere gegevens verwerkt. Dat zijn bijvoorbeeld gegevens over gezondheid, strafrechtelijke antecedenten en politieke, religieuze en seksuele voorkeuren. Maar het moet ook als je het gedrag van personen monitort door bijvoorbeeld tracking cookies te plaatsen. Dat mag nu met toestemming van de betrokken persoon, maar die regels gaan veranderen omdat ze niet werken.

Is gegevensbescherming nu echt een directie-onderwerp geworden?

Dat was het in zekere zin altijd al. Het management blijft verantwoordelijk voor de verwerking van de gegevens. Grote bedrijven krijgen serieus met de AVG te maken, maar kleinere bedrijven ook. Als je gegevens van werknemers en klanten verwerkt, val je er ook onder. Je moet alle processen waarbij persoonsgegevens worden verwerkt inventariseren anders is het onmogelijk om zorgvuldig persoonsgegevens te verwerken Dan kun je niet aan klanten en relaties uitleggen dat je het allemaal volgens de regels doet.

Brengt de AVG ook inhoudelijke veranderingen?

De essentie blijft hetzelfde. Wel worden sommige regels aangescherpt en zijn er twee echt nieuwe dingen: het recht om jouw gegevens mee te nemen en het recht op vergetelheid. Als organisatie moet je ervoor zorgen dat de betrokken persoon die rechten kan effectueren. Het meeneemrecht houdt bijvoorbeeld in dat je bij een online fotodienst als Flickr of Picasa kunt vragen om al je foto’s in zo’n format terug te geven dat je die bij een andere dienst kunt onderbrengen. Je kunt zelfs aangeven dat zij die foto’s moeten doorsturen als je overstapt. Dit heeft vooral gevolgen voor bijvoorbeeld mobiele telecomproviders en verzekeringsmaatschappijen. Maar ook app bouwers die bijvoorbeeld jouw online agenda beheren, moeten hiermee rekening houden.

En dat recht op vergetelheid, wat houdt dat in? 

Je hebt nu al het recht om aan een organisatie te vragen jouw gegevens te verwijderen. Het recht op vergetelheid slaat meer op gegevens die te vinden zijn op het internet. Want als de bron jouw gegevens verwijdert, kunnen er nog kopieën of links rondzwerven die via zoekmachines te vinden zijn. De bron moet dan alle redelijke inspanningen leveren om jouw gegevens onvindbaar te maken. Bijvoorbeeld als je spijt krijgt van een bepaalde reactie die je ergens heb geplaatst. Of een tekst over iemand die is veroordeeld, maar later is vrijgesproken.

De beste gegevensbescherming is dus eigenlijk geen persoonsgegevens verwerken?

Volgens de AVG moet je zo min mogelijk persoonsgegevens verwerken en dus alleen die gegevens verzamelen of bewaren die je nodig hebt. Dat betekent dat je bij het ontwerpen van een systeem al moet nadenken over privacy. Je ziet nogal eens dat organisaties pas vlak voor de deadline denken: oh ja, we moeten ook nog iets met privacy. Vaak kun je dat dan niet meer repareren of alleen met heel veel moeite. Je moet er dus van tevoren over nadenken wat je nodig hebt en waar je de gegevens neerzet.

Waar je je gegevens neerzet?

Als je gegevens opslaat in de cloud moet je weten dat de server in een land staat dat hetzelfde beschermingsniveau biedt als een EU-lidstaat. En als je persoonsgegevens laat verwerken door een ander bedrijf moet je zeker weten dat het voldoet aan de privacy-eisen. Andersom zullen bedrijven die hun persoonsgegevens door jou laten verwerken ook willen weten of de bescherming van persoonsgegevens bij jou is gewaarborgd.

U bent privacyadviseur voor de overheid en bedrijven. Welke vraag krijgt u het meest?

Help mij! Er zijn veel organisaties die wakker worden nu de deadline van de privacywet nadert en ons vragen: wat moet ik allemaal doen? Er zijn er nogal wat die behoorlijk weinig hebben gedaan aan privacybescherming, terwijl de Wet bescherming persoonsgegevens al sinds 2001 bestaat. Je moet dus niet alleen kijken naar de nieuwe regels.

En als je onvoldoende doet, welke haan kraait daar dan naar?

Meerdere. Om te beginnen is er de mogelijkheid van reputatieschade. Je wilt echt niet in de krant staan, omdat je niet goed omgaat met de gegevens van jouw klanten, werknemers of burgers. Maar ook de partijen met wie je zaken doet, willen weten of je de zaakjes wel op orde hebt. En dan heb je natuurlijk nog de Autoriteit Persoonsgegevens. Die kan niet alleen forse boetes opleggen, maar kan je ook dwingen om een bepaalde verwerking geheel of gedeeltelijk te staken.

En dat probeert u te voorkomen met dit boek?

Ja. We willen voor niet-juristen op een laagdrempelige manier duidelijk maken wat de verordening vereist. De doelgroep bestaat uit mensen die een belangrijke rol hebben bij de gegevensverwerking. Maar we hopen ook dat leidinggevenden zich erin verdiepen. Voor managers is 100 bladzijden best veel. Maar als je wat bladert en snuffelt dan heb je in een paar bladzijden de essentie van de verordening wel te pakken. En met het plan van aanpak en het bijbehorende werkboek kun je vervolgens meteen aan de slag.

 

 

Dit interview verscheen eerder bij Management Boek