Is er leven na de AVG?

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. In de aanloop naar 25 mei reist Mathijs Hummel het hele land door. Organisaties van klein tot groot helpt hij bij de voorbereiding op de nieuwe privacyregelgeving. We vroegen hem naar zijn ervaringen en belangrijkste adviezen.

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing

Om meteen maar met de deur in huis te vallen. Is er leven na de AVG?

Mathijs: “Dat antwoord is volmondig: Ja, dat is er zeker! De vraag is alleen hoe de wereld waarin we leven eruit komt te zien. Hoe gaan wij in Nederland een plekje geven aan privacy?“

Privacy was tot op heden niet echt een hot item.

“Dat klopt. De wereld is sterk veranderd. Direct en indirect worden er door de opkomst van social media, Internet of Things, big data en kunstmatige intelligentie, steeds meer gegevens verzameld door allerlei organisaties over ons dagelijks leven. Dit gebeurd op steeds grotere schaal en vaak zonder dat we dit weten. Denk aan Facebook.”

Bedrijven verzamelen tot op heden vaak gewoon zoveel mogelijk informatie. Het idee daarachter is dat ze dan alvast de informatie hebben die ze in de toekomst misschien wel eens nodig kunnen hebben. Ook kan de informatie worden gebruikt om nieuwe diensten te ontwikkelen of om ‘op maat gesneden’ producten aan te bieden. Google kan bijvoorbeeld op basis van je zoekgedrag bepalen of je zwanger bent en schotelt je dan een passende advertentie voor. De nieuwe privacywetgeving draait de situatie om. Het uitgangspunt is nu; wat heb ik nodig en waarvoor? En, vraag of verzamel ik niet teveel?

Onnodig teveel informatie vragen wordt dus strafbaar?

Mathijs: “Dat is een groot woord en wat kort door de bocht. Privacyrecht is geen strafrecht, maar bestuursrecht. Nu hebben wij de Wet bescherming persoonsgegevens. Dat is bestuursrechtelijke wetgeving. De sancties zijn dus bestuurlijk van aard. Met de AVG komt daar een boetebepaling bij. Als je je zaken niet goed op orde hebt kun je bestraft worden. Bestuursrechtelijk kan dat nu door boetes. Vergeet ook niet de afbreuk die het doet aan je imago als je negatief in het nieuws komt door een datalek of schending van privacy.”

Wat is er nieuw aan de AVG ten opzichte van de Wbp?

Grotendeels komen deze met elkaar overeen. De AVG doet er alleen een schepje bovenop. Het is scherper geformuleerd, maar soms ook juist wat opener om ruimte te geven voor interpretatie. De boetebevoegdheid is nieuw, die is er niet bij de Wbp. De rechten van betrokkenen worden ook aangevuld. Zo heb je nu al recht op inzage, recht op correctie en verwijdering van gegevens. Daar komen het recht van dataportabiliteit* en het recht op vergetelheid* bij. De veranderingen zijn niet altijd nieuw, maar privacy krijgt wel meer aandacht.

Waarom wordt de AVG ingevoerd?

Het belangrijkste doel is burgers beter te beschermen, hen meer instrumenten te geven om hun privacy te waarborgen. Het versterkt het eigenaarschap. Daarnaast is het bedoeld om binnen Europa meer rechtsgelijkheid te creëren. Zo geldt nu in bijvoorbeeld Duitsland of Frankrijk een ander privacyregime. De AVG moet dit meer harmoniseren. Ten slotte is het een maatregel die ervoor zorgt dat organisaties transparant maken hoe ze met gegevens omgaan.

Geldt de AVG voor elk bedrijf?

De wetgeving is van toepassing op iedereen die persoonsgegevens verwerkt. De wet houdt wel rekening met de positie van je organisatie. Ben je een klein bedrijf of een grote multinational? Het gaat er uiteindelijk om dat je aantoont passende beveiligingsmaatregelen te hebben getroffen. Dat je aantoonbaar hebt nagedacht over vragen als: Welke gegevens verzamel ik? Wat is mijn context? Waar bewaar ik de gegevens? Met wie deel ik die? Hoe verhoudt zich dat tot de huidige wetgeving en moet ik dan nog extra stappen nemen?

Let wel dat er ook bestaande wet- en regelgeving is die voorrang heeft op de AVG. Het is bijvoorbeeld niet mogelijk om de gegevens van een oud medewerker die daarom vraagt te verwijderen. Een werkgever is verplicht bepaalde gegevens van werknemers zoals loonbelastingverklaringen, identificatiebewijs, naam, adres, postcode, woonplaats, geboortedatum en sociaal fiscaal nummer, 5 jaar te bewaren.

Voor een grote organisaties is de impact vaak ook groter, omdat zij veel verschillende soorten, bijzondere, gegevens verwerken. Daarvoor moet je straks een Functionaris Gegevensbescherming inschakelen. Dat is de interne of externe persoon die controleert of je de wet en regelgeving naleeft.

Kost het invoeren van de AVG veel tijd?

De invoering op 25 mei is geen einddatum. Vanaf dan is de wetgeving van toepassing. De huidige Wbp (richtlijn) vervalt en de AVG (wetgeving) treedt formeel in werking. Een Europese verordening is anders dan een Europese richtlijn. Bij de richtlijn zijn landen nog vrij om een bepaalde invulling te geven. De Europese verordening geeft concrete regels die ingevoerd moeten worden. Het is dus een verplichting. Deze brengt kosten en een tijdsinvestering met zich mee. Tegelijkertijd is het ook een investering in de betrouwbaarheid van je organisatie.

De meeste tijd zit voor 25 mei in het opstellen van procedures voor bijvoorbeeld de betrokken, het opzetten van een register van verwerkingen en het afsluiten van verwerkersovereenkomsten. De echte ‘inspanning’ volgt pas na 25 mei. Het kost meer tijd om blijvend aan de AVG te voldoen dan om eenmalig een aantal maatregelen in te voeren.

Ben je nu al te laat voor 25 mei?

Op 25 mei heb je lang genoeg de tijd gehad om je voor te bereiden. De wereld blijft in de praktijk hetzelfde. Je moet alleen kunnen aantonen dat je tijd en energie hebt gestoken in het inventariseren wat je hebt en hoe je daarmee omgaat. Dat je niet stil hebt gezeten en de vinger op de zere plek durft leggen.

Het is dus een verplichting. Heb ik er als bedrijf ook wat aan?

“Natuurlijk! De AVG geeft inzicht in de gegevens die je verwerkt. Daarnaast eisen veel klanten van hun leveranciers dat ze aantoonbaar verantwoord omgaan met hun gegevens. Dit kun je als leverancier aantonen. De AVG zorgt voor transparantie. Security en privacy worden voor organisaties feitelijke voorwaarden om diensten te kunnen leveren. Hier kunnen we als maatschappij straks steeds meer op vertrouwen.”

Kun je ook laten zien dat je er aan voldoet?

Nee, dat wil zeggen, er is geen AVG certificaat of zoiets. Wel kennen we natuurlijk de normen en standaarden voor informatiebeveiliging. Voor klanten is het een enorme pré als je als bedrijf aantoonbaar aan deze standaarden voldoet. Denk aan de ISO 27001 en in de zorg NEN 7510. De AVG is ook niet een eenmalig iets. Het is in die zin vergelijkbaar met deze standaarden. Je moet het zien als een proces met een verbetercyclus. Dat moet je onderhouden en continu kritisch tegen het licht houden.

Hulp nodig bij de implementatie van de AVG?

Insite Security ondersteunt organisaties en bedrijven bij de implementatie van de AVG of het uitvoeren van een Data Protection Impact Assessment. Wij kunnen ook controleren of u voldoet aan de eisen AVG. Tot slot kan Insite Security de rol van Functionaris Gegevensbescherming (in de vorm van een dienst) voor u invullen.

Hoe weet ik dat ik 100% voldoe?

Hiervoor geldt, 100% ‘veilig’ bestaat niet. Als je nog moet beginnen dan raad ik je het 10 stappenplan van de Autoriteit Persoonsgegevens aan. Breng je basis in kaart en ga vanuit dat punt maatregelen implementeren. Een privacybeleid en een procedure datalekken zijn daar een voorbeeld van. Bekijk op gezette tijden weer de status. Over een jaar ziet de wereld er weer heel anders uit. Je hebt nieuwe business gecreëerd, het bedrijf is enorm gegroeid, et cetera.

Deze blog is een eerste van een drieluik. In de volgende twee blogs gaan we in op het borgen van de AVG, door privacy by design en privacy by default, en de rol van de functionaris gegevensbescherming. Neem voor meer informatie in de tussentijd gerust contact met ons op.

Lees ook: Eerste Hulp bij de AVG

Contactformulier

 

Meer artikelen

Bekijk al het nieuws