Print:

AVG-moe? Drie redenen om alert te blijven

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Heeft de komst van de Algemene verordening gegevensbescherming (AVG) een aardverschuiving teweeggebracht? Of is alles al snel weer business as usual? Drie redenen om alert te blijven op AVG-compliance.

Een historisch moment. Dat zei Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), op 25 mei over de invoering van de Algemene verordening gegevensbescherming (AVG). “We hebben nu in de hele EU dezelfde privacyregels. De privacywetgeving is aangepast aan deze tijd en geeft mensen meer zeggenschap over hun persoonsgegevens. Hiermee is ieders grondrecht op bescherming van je persoonsgegevens beter verankerd.”

Dataprotectie & Privacy gids | IIR

 

Voor veel professionals is de komst van de AVG niet simpelweg een feestje voor het grondrecht op privacy. De implementatie van de nieuwe wet levert de nodige hoofdbrekens en onzekerheden op. Een terugkerend vraagstuk daarbij is hoe de nieuwe vereisten in de praktijk uitpakken. Gaan mensen massaal inzage in hun persoonsgegevens vragen, of klachten melden bij de AP? Hoe gaat de AP de regelnaleving controleren en handhaven?

De onduidelijkheden over de impact van de AVG op de dagelijkse werkpraktijk veroorzaken nogal eens een zekere AVG-vermoeidheid. Toch zijn er genoeg redenen om alert te blijven op AVG-compliance. De beste op een rij.

De toezichthouder wil de tanden laten zien

Jacob Kohnstamm, voorganger van AP-voorzitter Wolfsen, streed er al jarenlang voor: een privacywaakhond die niet alleen kan blaffen, maar ook kan bijten. Met de invoering van de AVG is het eindelijk zo ver. De AP kan torenhoge boetes opleggen, tot twintig miljoen euro of vier procent van de wereldwijde omzet. De AP had al sinds 2016 extra boetebevoegdheden, maar daarvan is tot nu toe nog geen gebruik gemaakt, volgens de betrokkenen omdat er geen zaken zijn geweest waarin opzet of ernstig verwijtbare nalatigheid is aangetoond. Dat zou nu wel eens anders kunnen worden. Bedrijven die niet AVG-proof zijn, lopen volgens Wolfsen “serieuze risico’s”.

Er zijn geluiden dat de AP niet is toegerust op een daadkrachtige handhaving. Zo zou de toezichthouder volgens mediaberichten onvoldoende slagkracht, mensen, middelen en expertise hebben. Vaststaat dat de organisatie groeit: in 2017 waren er zo’n 70 tot 80 mensen in dienst, nu zijn dat er bijna twee keer zo veel. De bedoeling is dat er de AP uiteindelijk over 185 fte’s kan beschikken. De inspecteurs reageren op meldingen en klachten van burgers, maar gaan ook op eigen initiatief op pad. De eerste actie is al gestart: de controle op de aanwezigheid van de Functionaris voor de Gegevensbescherming (FG) bij de overheid. De verwachting is dat organisaties die op grootschalige wijze in persoonsgegevens handelen en medische gegevens verwerken binnenkort ook aan de beurt zijn.

AVG-compliance is een langetermijndoel

“GDPR-compliant worden, is belangrijk, maar momenteel is de gekte rondom de GDPR buitenproportioneel, met alle risico’s van dien”, schreven juristen Elisabeth Thole en Özer Zivali in een opinieartikel in FD. “De datum van 25 mei is geen deadline, maar een markeerpunt.” Hun advies aan organisaties die onder hoge tijdsdruk werken aan AVG-compliance komt neer op het aloude devies: haastige spoed is zelden goed. “Veel organisaties voldeden al niet aan de vorige wet en proberen nu krampachtig achterstallig onderhoud snel en ondoordacht uit te voeren. Dat is vragen om moeilijkheden. Als nu niet op een beheerste en praktische wijze de juiste fundering wordt gelegd, zakt het privacybeleid straks als een kaartenhuis in elkaar. Er moet dan weer opnieuw worden begonnen.” Is AVG-compliance dan onbelangrijk? “Integendeel, alle organisaties dienen vooral voortvarend door te gaan, maar zij moeten zich daarbij niet blindstaren op 25 mei of vlak daarna. Juist ook na die datum is het zaak de privacy compliance acties goed doordacht uit te voeren.”

Dataprotectie is het hogere doel

In alle drukte om AVG-proof te worden, bestaat het risico dat alle focus komt te liggen op de technische en organisatorische maatregelen voor de bescherming van persoonsgegevens. Denk aan dataminimalisatie, pseudonimisering en encryptie. Daarmee raakt de gedachte achter de wet – gegevensbescherming die is toegerust op de uitdagingen van de digitale wereld van nu – nog wel eens uit het zicht.

“Als je de AVG volledig op een technische manier invult, is compliance geen vanzelfsprekendheid”, waarschuwt Jeroen van den Hoven, hoogleraar aan de TU Delft. Open normen uit de AVG – zoals gerechtvaardigd belang, toestemming en transparantie – moeten namelijk verantwoord worden ingevuld. “En dat kun je alleen doen met een reflectie op wat je denkt dat goed is.”

Er is nog een andere reden om het hogere doel van de AVG in het vizier te houden. Een basisbeginsel van de AVG is dat elke organisatie zicht heeft op de interne en externe dataprocessen. Dat inzicht biedt kansen om bedrijfsprocessen en IT-systemen te optimaliseren. Maar ook om met transparante informatie over dataprotectie het vertrouwen van klanten en burgers te vergroten.

Op zoek naar nog meer informatie en inspiratie over de AVG? Volg de vierdaagse cursus Privacy Officer 2.0, of de speciale variant voor privacyprofessionals werkzaam in het publieke domein, FG in de publieke sector.

Meer informatie?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten