AVG in zes maanden

Door PvIB 30 nov 2017

Organisatie van IB Privacy

De invoeringsdatum van de AVG komt met rasse schreden nabij. Bij publicatie van dit blad zijn er nog ongeveer zes maanden te gaan. Internationals, enterprises en rijksoverheden zijn allang bezig met de voorbereidingen op de implementatie van de AVG, maar er zijn groepen die niet de lange adem hebben ...

Zie de AVG als een set kansen. Met de AVG wil Europa een gedragsverandering in de samenleving veroorzaken. In plaats van problemen in de verwerking van persoonsgegevens in de doofpot te stoppen moeten we onze maatschappelijke verantwoordelijkheid nemen. Door respect te tonen voor onze klanten en ons tot doel stellen de kans op fouten te minimaliseren laten we zien privacy serieus te nemen. Door tot op zekere hoogte openheid te geven over gemaakte fouten kunnen we collectief leren van die ‘lessons learned’.

Organisaties verwerken persoonsgegevens als onderdeel van hun bedrijfsactiviteiten. Dit kunnen opgelegde taken of doelstellingen zijn of dienstverlening die dit ondersteunt. De AVG benadrukt simpelweg de noodzaak om daarbij een zorgvuldige omgang met persoonsgegevens in te richten. Voorkomen van privacy-incidenten die mogelijk als datalek gekwalificeerd moeten worden is daarbij de koers. Maar dat was eigenlijk altijd al de kwalificatie van goed ondernemerschap. De echte kansen zitten in het uiteindelijk effect van het (opnieuw) beoordelen van de huidige bedrijfsprocessen en de persoonsgegevens die daarbij verwerkt worden. Hiernaar kijken met de AVG-bril op kan bij jouw organisatie tot interessante kansen leiden.

De AP probeert verwerkers in Nederland voor te bereiden door een 10-stappenplan op te stellen. Dit stappenplan geeft een aantal onderwerpen waar je aandacht aan moet geven, maar vergroot niet het draagvlak voor AVG, door de manier waarop het geschreven is. Zo staat al in stap 1 de tekst “Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro ...”. Met de focus op sancties blijft onderbelicht dat organisaties die voldoen aan de AVG daar zelf ook beter van worden.

De AVG geeft je, net zoals de Wbp de mogelijkheid om gegevensbescherming op jouw manier in te richten. De AVG maakt de noodzaak om dat ook daadwerkelijk te doen echter tot een serieus aandachtspunt. Neem deze kans dan ook en denk als bestuurder, functionaris, ondernemer zelf na hoe je het eigenlijk geregeld zou willen zien. Besef je ook dat er vaak al gerelateerde doelstellingen zijn gehaald door een andere discipline, zoals BCM. Zorg voor een goede afstemming met deze disciplines en bewaak de afspraken. Er zijn namelijk drie aspecten die je goed geregeld wilt hebben, namelijk wie doet wat, wat als het misgaat en hoe beperk je de risico’s.

Aspect 1: Wie doet wat?
Er zijn onder de AVG een aantal zaken die geregeld moeten worden. Activiteiten beginnen met de bepaling wie het gaat regelen. Hier volgt een lijst van de hoofdzaken voor kleinere bedrijven.

  • Overzicht verwerkingen: Wie maakt een overzicht van alle gegevensverwerkingen die je zelf uitvoert of in opdracht van je bedrijf worden uitgevoerd? Wie beoordeelt de grondslag waarop die gegevens verwerkt worden?
  • Functionaris gegevensbescherming: Sommige organisaties moeten een FG hebben, het kan verstandig zijn om een FG te hebben. Wie beslist of er een functionaris gegevensbescherming wordt aangesteld?
  • GEB: Wie bepaalt of de gegevensverwerking in je bedrijf waarschijnlijk een hoog risico oplevert? Want dan moeten er GEB’s (gegevensbeschermingseffectbeoordelingen) uitgevoerd worden. Wie gaat die uitvoeren? Wie bepaalt welke maatregelen genomen moeten worden? Wie overlegt met de toezichthouder als dat nodig is? Dit klinkt erger dan het is, je bent al een heel eind op weg met de risicoanalyse die je toch moet doen.
  • Leidende toezichthouder: Voor de bedrijven die op meer plaatsen in Europa gevestigd zijn: Wie bepaalt welke toezichthouder de leidende toezichthouder is?
  • Afhandelen van verzoeken: Mensen hebben het recht verzoeken in te dienen bij je bedrijf, zoals een verzoek tot inzage, correctie of verwijdering. Deze rechten bestonden al onder de Wbp. Nieuw is het recht op dataportabiliteit. Mensen mogen in specifieke situaties het verzoek indienen om hun gegevens te krijgen in een vorm die het makkelijk maakt om die te kunnen doorgeven aan een andere organisatie. Dit zijn operationele processen. Wie is verantwoordelijk om ze op te zetten? Wie is verantwoordelijk om ze uit te voeren?

Aspect 2: Wat als het misgaat?
Dit is eigenlijk niet anders. Een incident moet onderzocht worden. In het onderzoek hiervan wordt bepaald of het ook een datalek betreft zoals bedoeld in de AVG (en Wbp). In dat geval moet bepaald worden of en hoe dit eventueel gemeld moet worden: bij de toezichthouder en in sommige gevallen ook bij de betrokkenen. Wie gaat dit doen, wat wordt er dan gedaan en wie ziet hierop toe?

Aspect 3: Hoe beperk je de risico’s?
Er zijn een aantal doelstellingen waarvan het verstandig is om die na te streven. Als ze toegepast worden kunnen ze de gevolgen van datalekken beperken. Denk hierbij aan:

  • Privacy by design en privacy by default - ga bij processen en systemen die persoonsgegevens verwerken na of de verwerking veilig is ingericht. Dit gaat over het ontwerp, de implementatie, de opzet en de uitvoering. Denk hierbij na hoe de persoonsgegevens mogelijk misbruikt kunnen worden en door wie. Te vaak denken we alleen vanuit de scenario’s waarin alles goed gaat.
  • Verwerkersovereenkomsten: zorg dat de afspraken met dienstverleners die je gebruikt om persoonsgegevens te verwerken op orde zijn en nageleefd worden. Je kunt wel diensten uitbesteden, maar dat ontslaat je niet van jouw eigen verantwoordelijkheden. En verwerk je persoonsgegevens voor een ander? Wees je dan bewust dat een probleem ergens in de hele verwerkingsketen jouw probleem kan worden. Dit was al ingeregeld onder de Wbp, je mocht er al niet meer vanuit gaan dat de leverancier de privacyzaken wel regelt. Onder andere de plaats van verwerking is belangrijk, als de verwerking in de EU blijft is het eenvoudiger te regelen.
  • Toestemming registreren: In veel gevallen is de grondslag voor verwerking wettelijk geregeld. Maar als de grondslag van gegevensverwerking is dat je toestemming hebt gevraagd en gekregen van de betrokkenen, dan zul je dit moeten registreren.
  • Bewustwording: zorg dat de relevante mensen bekend zijn met de begrippen en regels uit de AVG en de keuzes die je bedrijf heeft gemaakt op basis van die regels. Als medewerkers nauwelijks weten wat een datalek is, dan kunnen ze ook niet helpen deze te voorkomen. Probeer hierbij zoveel mogelijk Jip&Janneketaal te gebruiken.

Als deze drie aspecten geregeld zijn, dan kun je stellen dat je het goed genoeg doet, dat je ‘in control’ bent. En dat geeft de gelegenheid om weer te focussen op ondernemen.

Conclusie
Bedenk dat 25 mei 2018 slechts een datum op de kalender is waarop de regie over persoonsgegevens aangepast wordt. Er was al een Wet bescherming persoonsgegevens van kracht, er wordt gewoon een volgende stap gezet. Hoe hard je er ook aan werkt om klaar te zijn voor de invoering van de AVG, besef dat aandacht voor de zorgvuldige omgang met persoonsgegevens een voortdurend aandachtsgebied betreft. Je bent dus nooit klaar. Dat komt omdat informatiebeveiliging en privacybescherming een dynamisch proces is, geen statisch product dat je projectmatig kunt opleveren. De voorbereiding is dus geen sprint waarmee je voor 25 mei 2018 moet finishen. Zorg dat je daar ook naar handelt. Focus op de grootste risico’s, maak bestuurders, managers en medewerkers enthousiast over de veranderingen die doorgevoerd worden, adem in en neem de volgende stap.


Aan het artikel ‘AVG in zes maanden’ hebben de volgende mensen meegewerkt:

Uit de workshop – eerste ronde Uit de workshop – tweede ronde Uit de workshop – derde ronde Uit de redactie
  • Lex Borger
  • Lex Dunn
  • Tom Bakker