Print:

AVG-compliance: een onmogelijke opgave?

Ferry Waterkamp, Journalist

LinkedIn profiel

Als Nederland is teruggekeerd van zomervakantie hebben organisaties nog ruim een half jaar de tijd om zich klaar te maken voor de Algemene Verordening Gegevensbescherming (AVG). Geen eenvoudige opgave. “De guidance over de invulling van de diverse open normen van de AVG wordt mondjesmaat gepubliceerd. Daardoor is er nog altijd veel onduidelijk”, stelt advocaat Friederike van der Jagt van Hunter Legal. Hoe kunnen partijen zich dan toch goed voorbereiden?

Welke ontwikkelingen omtrent de AVG zijn er? Het is een van de vragen waar Van der Jagt op 12 oktober a.s. tijdens het IIR-congres ‘Implementatie AVG’ als keynotespreker dieper op in zal gaan. De advocaat komt waarschijnlijk tijd tekort, want met de inmiddels beruchte deadline van 25 mei 2018 duidelijk in zicht stapelen de ontwikkelingen zich op.

“Op hoofdlijnen weten organisaties wel wat ze moeten doen”, zo is de geruststellende boodschap van Van der Jagt. “Maar tegelijkertijd heeft iedereen behoefte aan zekerheid, bijvoorbeeld over hoe bepaalde open normen moeten worden uitgelegd. Die zekerheid is er (nog) niet.”

‘Niet makkelijk’

De Artikel 29 Werkgroep (WP29) publiceert regelmatig ‘guidelines’ die invulling geven aan die open nomen. Zo heeft de WP29 al zijn licht laten schijnen over het recht op dataportabiliteit en de Data Protection Officer. Ook zijn er richtlijnen verschenen voor het bepalen van de leidende toezichthouder.

“Met deze richtlijnen heeft de WP29 heel veel verduidelijkt”, stelt Van der Jagt, om er direct aan toe te voegen dat het ‘nog steeds niet makkelijk’ is. “Veel bedrijven zullen er bijvoorbeeld nog altijd moeite mee hebben om te bepalen wie in een specifiek geval de leidende toezichthouder is. En hoe we begrippen als ‘passend’, ‘op grote schaal’ en ‘systematisch’ in de ogen van de privacytoezichthouders echt moeten uitleggen, weten we pas na de eerste onderzoeken naar vermeende overtredingen van de AVG.”

Deadline realistisch?

Ondertussen broedt de WP29 nog op nieuwe guidelines en is het wachten op de finale versie van de Nederlands Uitvoeringswet AVG. Vanuit Europa klinken er bovendien geluiden om de nieuwe e-Privacy Verordening – die op het gebied van online privacy aanvullende regels vaststelt – ook al in mei 2018 in te laten gaan.

“Maar dat is niet realistisch, want het is nog slechts een voorstel; de e-Privacy Verordening moet nog door bijna het gehele Europese wetgevingsproces”, constateert Van der Jagt. “Wanneer je bedenkt dat het eerste gepubliceerde voorstel voor de AVG uit 2012 dateert en de AVG pas vanaf 25 mei 2018 van toepassing is, dan lijkt de wens van de Europese Commissie niet haalbaar. Er zijn inmiddels door het Europees Parlement ruim 800 amendementen op het voorstel ingediend, dus ik verwacht dat de nieuwe e-Privacy Verordening nog wel even op zich laat wachten.”

“Als organisatie loop je eigenlijk constant achter de feiten aan. Je moet je zelfs af gaan vragen of de handhaving van de AVG daadwerkelijk op 25 mei 2018 moet starten, nu er nog zoveel onduidelijk is”, werpt ze op. “Het zou beter zijn als organisaties langer de tijd krijgen en in de implementatie meteen de e-Privacy Verordening kunnen meenemen. Maar uitstel van de deadline gaat niet gebeuren, dus partijen moeten nu serieus werk maken van een optimale voorbereiding.”

Ga aan de slag

Van der Jagt noemt een aantal dingen die organisaties sowieso kunnen en soms zelfs moeten doen:

  1. Breng de gegevensstromen in kaart

“Dit is eigenlijk altijd de eerste stap. Weet welke persoonsgegevens je hebt, wie allemaal toegang hebben tot die data en of de gehanteerde bewaartermijnen wel correct zijn. Zonder dit inzicht kun je de persoonsgegevens niet adequaat beschermen.”

  1. Ruim data op

“Vraag jezelf af: moet ik dit echt allemaal bewaren? Veel bedrijven bewaren data eeuwig, maar dat brengt onnodige kosten voor storage met zich mee en vergroot de kans op een datalek. Schoon daarom je databestanden op en kijk welke data weg kunnen. Dat is nooit een zinloze exercitie. Je ruimt als het ware je huis op.”

  1. Vergroot de privacy-awareness in de organisatie

“Mooie protocollen en PIA’s hebben weinig waarde als de mensen zelf niet snappen wat een persoonsgegeven is. Als bijvoorbeeld de opvatting heerst dat een IP-adres of een zakelijk e-mailadres geen persoonsgegeven is, dan is er nog veel werk aan de winkel.”

  1. Installeer een privacy- en securitycommissie

“Legal wil de AVG niet volledig op zijn bordje krijgen, en IT wil dat ook niet. De verschillende afdelingen moeten samenwerken: Legal kan immers zelf niet de beveiliging in de IT-systemen aanpassen maar kan wel aangeven wie wel of niet toegang zou moeten/mogen hebben tot bepaalde persoonsgegevens. In geval van een datalek wil je niet alleen juridisch correct handelen, maar ook reputatieschade voorkomen. Het is dan voor Legal zaak om nauw samen te werken met de pr- en communicatieafdeling. Stel daarom een team samen waarin mensen van alle afdelingen zitten, van Legal en IT tot marketing, pr en communicatie.”

  1. Stel een datalekprotocol op

“Maak duidelijk wanneer sprake is van een datalek, bij wie men intern terecht kan en wie er zorg voor draagt dat het datalek, indien nodig, gemeld wordt aan de toezichthouder. Wanneer medewerkers niet weten wat een datalek is of het niet intern melden uit angst voor ontslag, vergroot dit de kans op boetes of reputatieschade wanneer het lek toch ‘uitlekt’.”

  1. Pas het privacystatement aan

“De AVG verplicht bedrijven om veel meer informatie over de omgang met persoonsgegevens te verschaffen. Zo moet je straks onder meer vertellen hoe lang je gegevens bewaart.”

  1. Volg de actualiteit op de voet

“Blijf op de hoogte van nieuwe ontwikkelingen. Dat is echt nodig, want het gaat allemaal erg snel. Raadpleeg bijvoorbeeld regelmatig de website van de Autoriteit Persoonsgegevens. Nieuws over onder andere nieuwe richtlijnen van de WP29 en de Uitvoeringswet AVG is daar ook te vinden.”

“Maar misschien wel het belangrijkste advies dat ik kan geven: zorg ervoor dat je voldoende mensen, tijd en budget hebt om de implementatie vorm te geven”, besluit Van der Jagt. “Alles kost altijd meer tijd dan je denkt. Als je gaat graven om je datastromen in kaart te brengen, dan kom je altijd weer dingen tegen waar je vooraf geen rekening mee had gehouden.”

Meer weten over de ontwikkelingen rondom de AVG? Bezoek dan op 12 en 13 oktober het IIR-congres ‘Implementatie AVG’.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten