Print:

AVG-compliance: the best is yet to come

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De implementatie van de Algemene verordening gegevensbescherming (AVG) heeft het thema dataprotectie bij veel organisaties hoog op de agenda gezet. Maar compliance is daarmee nog geen vanzelfsprekendheid, zegt privacy-advocaat Friederike van der Jagt.

In haar keynote tijdens het IIR-congres Implementatie AVG in 2017 signaleerde Friederike van der Jagt, privacy-advocaat bij Hunter Legal, dat er nog veel onduidelijkheid is over de Algemene verordening gegevensbescherming (AVG). Bijna een jaar later, tijdens het Dataprotectie & Privacy Congres 2018 op 26 en 27 september, schetst ze opnieuw de actualiteiten. “Voor de hoofdonderwerpen uit de AVG zijn inmiddels op Europees niveau guidelines opgesteld”, zegt Van der Jagt over de actuele situatie. “De guidelines geven adviezen over de interpretatie van belangrijke onderdelen van de wet, maar zijn niet in alle gevallen even praktisch toepasbaar. Daarnaast zijn nog niet alle guidelines in het Nederlands beschikbaar.” 

Friederike van der Jagt IIR

Friederike van der Jagt – keynote tijdens het congres Implementatie AVG

Voor veel organisaties is aan de onduidelijkheden en onzekerheden over de juiste toepassing van de AVG dus nog geen einde gekomen. “De open normen uit de AVG krijgen pas invulling als toezichthouders onderzoeken gaan uitvoeren. De vraag is natuurlijk: hoe strikt gaat de Autoriteit Persoonsgegevens (AP) de eisen dan invullen?” Van onderzoeken en procedures die hebben plaatsgevonden onder de Wet bescherming persoonsgegevens weten we dat dergelijke zaken jarenlang kunnen duren. Is er op korte termijn dus niet meer duidelijkheid te verwachten? Van der Jagt: “De interpretatie van nieuwe regels uit de AVG, zoals over de verplichting om een data protection impact assessment (DPIA) uit te voeren, zijn het spannendst. In welke situaties geldt die verplichting precies? De AP heeft inmiddels een – overigens niet-uitputtende – lijst opgesteld van gevallen waarin de DPIA verplicht is. Maar deze moet nog op Europees niveau worden goedgekeurd. Uiteindelijk is het aan de toezichthouders om echt knopen door te hakken over dit soort toepassingen van de wet.” 

De dreiging van boetes

De urgentie van AVG-compliance hangt voor veel organisaties in belangrijke mate samen met de nieuwe boetebevoegdheden die de AP sinds 25 mei heeft. Hoe gaat de toezichthouder optreden tegen regelovertredingen? Volgens het toezichtkader 2018-2019 ligt de focus van het toezicht van de AP de komende periode op overheidsorganisaties, zorginstellingen en bedrijven die handelen in data. Daarnaast is er bijzondere aandacht voor het voorkomen datalekken. Van der Jagt: “Een partij die nu op grote schaal gegevens doorverkoopt zonder toestemming van betrokkenen kan op de vingers natellen dat er een reëel boeterisico is. Dat geldt ook voor de bescherming tegen datalekken: bedrijven kunnen immers al sinds 2016 worden beboet worden als de beveiliging daartegen onvoldoende is.”

Tot nu toe is de AP vooral steekproefsgewijs met onderzoeken aan de slag, constateert Van der Jagt. Er is een onderzoek gestart naar naleving van de registerplicht bij dertig bedrijven in tien sectoren. Daarnaast zijn meer dan honderd ziekenhuizen en zorgverzekeraars en vierhonderd overheidsinstellingen gecontroleerd op de verplichte aanstelling van een Functionaris voor de Gegevensbescherming (FG). “De AP lijkt dus nog niet een specifieke organisatie te zijn binnengestapt om de compliance van A tot Z te checken. Het is ook de vraag of zo’n handhavingsactie direct zou leiden tot een boete. Het sanctiestelsel van de AVG bepaalt dat een toezichthouder moet kijken wat het meest passende middel is: dat kan een boete zijn, maar ook een waarschuwing of berisping.” De AP heeft al sinds 2016 een boetebevoegdheid, maar heeft daarvan nog geen gebruik gemaakt.

Compliance-bereidheid

Volgens Van der Jagt kunnen de steekproeven van de AP op korte termijn een belangrijke impact hebben op de compliance. “Door bij bedrijven, zorgpartijen en overheidsinstanties een concrete AVG-vereiste onder de loep te nemen, kan de toezichthouder misschien wel meer effect sorteren dan door bij één organisatie na maandenlang onderzoek een sanctie op te leggen. De boetedreiging is vooral voor bedrijven die bewust de grenzen van het wettelijk toelaatbare opzoeken een goede stimulans om rekening te houden met de vereisten.” 

Van der Jagt verwacht dat de AP op de langere termijn – als de toezichthouder intern in rustiger vaarwater is terechtgekomen en mogelijk ook meer budget ter beschikking heeft – wel een keer met een boete zal komen. “Dat is noodzakelijk om als toezichthouder serieus genomen te worden. De internationale context speelt daarbij ook een rol: met de komst van de AVG is het sanctiestelsel in de Europese Unie geharmoniseerd. Dat betekent onder andere dat tegen vergelijkbare overtredingen op dezelfde manier opgetreden moet worden. Als andere toezichthouders eenmaal boetes gaan opleggen, dan kan de AP moeilijk achterblijven.” 

Werken aan compliance

“Er zijn adviseurs die beloven dat ze een organisatie met een softwareprogramma binnen een uurtje compliant maken. Dat kan natuurlijk helemaal niet. De snackbar op de hoek kan er misschien mee geholpen zijn, maar bij grote bedrijven en instellingen is serieuze, structurele aandacht voor dataprotectie noodzakelijk”, zegt Van der Jagt over de uitdagingen bij AVG-compliance. “In de aanloop naar 25 mei hebben veel organisaties de basis op orde gebracht. Er is een register van verwerkingsactiviteiten ingericht, een procedure voor de omgang met inzageverzoeken en andere rechten van betrokkenen ingevoerd, en een helder privacystatement opgesteld. Nu is het zaak om de registers en processen actueel te houden. Bovendien is het mogelijk dat de Europese guidelines worden herzien, wat kan leiden tot allerlei aanpassingen in de omgang met persoonsgegevens.”

Veel organisaties onderschatten wat ze nog allemaal moeten doen om compliant te worden en te blijven, waarschuwt Van der Jagt. “Het heeft geen zin om te verwijzen naar andere organisaties die de regels niet naleven, bijvoorbeeld omdat die de privacyverklaring ook nog niet hebben geactualiseerd. Elke organisatie heeft een eigen verantwoordelijkheid om compliant te zijn.”

Werk aan de winkel

“Het belangrijkste is dat organisaties beseffen: the best it yet to come”, zegt Van der Jagt over de boodschap die ze deelnemers aan het Dataprotectie & Privacy Congres wil meegeven. “Er is nog heel veel werk aan de winkel. Als je denkt dat je alles hebt gedaan aan AVG-compliance dan begint het eigenlijk weer opnieuw: er komen bijvoorbeeld nieuwe rechterlijke uitspraken en guidelines van toezichthouders, je start met nieuwe verwerkingen van persoonsgegevens…. De e-Privacy verordening komt er straks ook nog aan. Deze kan enorme invloed hebben op de huidige marketingactiviteiten – vrijwel elke organisatie verstuurt wel een nieuwsbrief en past cookies toe. Het proces van privacycompliance vraagt dan ook om doorlopende aandacht. Je bent niet zo maar even klaar.”

Een onmiskenbaar positieve ontwikkeling is volgens Van der Jagt dat het vak van privacy officer volwassener is geworden. “Dataprotectie is niet langer iets dat iemand van HR er even bij doet. Steeds meer organisaties beseffen dat het nodig is om iemand aan te stellen die dedicated met dataprotectie bezig is. De European Data Protection Board noemt de vrijwillige aanstelling van een FG niet voor niets een good practice.” Dat wil niet zeggen dat de verantwoordelijkheid voor dataprotectie volledig bij één persoon moet liggen, benadrukt Van der Jagt. “Er komt heel veel op een privacy officer af en het is onmogelijk om alles voortdurend te overzien. Daarom stellen grote organisaties vaak op afdeling- of teamniveau privacy champions aan, die als eerste aanspreekpunt fungeren en bij vragen snel met de privacy officer kunnen schakelen.” Dergelijke ondersteuners nemen de privacy officer werk uit handen, maar maken tegelijkertijd de noodzaak van een goede opleiding groter dan ooit, zegt Van der Jagt. “Privacy officers moeten een brede blik op het veld houden, de actuele ontwikkelingen kennen en met vakgenoten uit andere sectoren sparren. We weten nu zo’n beetje wat er in de AVG staat, maar de precieze en praktische uitwerking van alle wettelijke vereisten moeten we goed in de gaten houden.”

Friederike van der Jagt verzorgt de openings keynote van het 2-daagse Dataprotectie & Privacy Congres op 26 en 27 september 2018 in Amsterdam. Bekijk het volledige programma en boek tickets.

Meer informatie

Laat uw e-mail achter en ontvang de volledige brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten