Print:

Dit is waarom dataprotectie het verdient top of mind te blijven

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Voor privacyprofessionals is 2018 een bijzonder intensief jaar. Enige vermoeidheid over de compliance met de Algemene verordening gegevensbescherming (AVG) is dan ook niet verwonderlijk. Toch zijn er goede redenen om vol in te blijven zetten op dataprotectie.

Een historisch moment. Zo noemde Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018. “We hebben nu in de hele EU dezelfde privacyregels. De privacywetgeving is aangepast aan deze tijd en geeft mensen meer zeggenschap over hun persoonsgegevens. Hiermee is ieders grondrecht op bescherming van je persoonsgegevens beter verankerd.”

Veel organisaties hebben in 2018 vol ingezet op dataprotectie. Onvermijdelijk treedt na verloop van tijd een zekere AVG-vermoeidheid op. “Het is cruciaal dat we de focus op privacy vasthouden”, benadrukt Mischa van der Vliet, IT-auditor van AuditConnect en docent bij de driedaagse Masterclass Auditing Privacy van IIR. “Daarvoor is het heel erg belangrijk dat organisaties een ‘plan-do-check-act’-cyclus hanteren. Implementeer niet alleen de maatregelen die in het beleid zijn opgenomen, maar check ook de effectiviteit en act door zo nodig bij te sturen. In de praktijk zie ik helaas geregeld dat er wel een beleid wordt opgesteld, maar dat de verbetercyclus niet is ingericht. Dan zijn alle inspanningen eigenlijk zonde van de tijd.”

Het is niet alleen zonde van de tijd en energie om de aandacht voor AVG-compliance te laten verslappen. Er zijn ook andere goede redenen om het thema dataprotectie op de agenda te houden.

1. Non-compliance is een risico

In de media is sinds de invoering van de AVG regelmatig gesproken over de boetebevoegdheid die de AP sinds 2016 heeft. De boetes kunnen oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde jaaromzet. De boetes zijn voor veel organisaties op korte termijn een belangrijke drijfveer om AVG-compatibel te worden, zegt Jean Paul van Schoonhoven, adviseur van Legal2Practice en docent van diverse trainingen van IIR. “De dreiging van een hoge boete zorgt voor een immens operationeel risico. Slechte gegevensbescherming kost dan namelijk veel geld.” Maar de kosten kunnen ook bestaan uit – blijvende – reputatieschade. “Als je bij een incident het vertrouwen van je klanten kwijtraakt kost dat zowel direct als indirect geld. En het zijn niet alleen klanten, maar ook externe stakeholders zoals de politiek, consumentenorganisaties, de publieke opinie en medewerkers en ondernemingsraden waar rekening mee moet worden gehouden.”

Friederike van der Jagt, privacy-advocaat bij Hunter Legal en docent van onder andere de opleiding Certified Dataprotection Officer (CDPO), waarschuwt om de risico’s van non-compliance niet te onderschatten. “Het heeft geen zin om te verwijzen naar andere organisaties die de regels niet naleven, bijvoorbeeld omdat die de privacyverklaring ook nog niet hebben geactualiseerd. Elke organisatie heeft een eigen verantwoordelijkheid om compliant te zijn.”

Dataprotectie & Privacy IIR

 

2. Compliance is geen eenmalige exercitie

In de aanloop naar de inwerkingtreding van de AVG zijn veel organisaties vanuit een projectmatige aanpak met implementatie en compliance aan de slag gegaan. Maar voor een goede naleving van de AVG is veel meer nodig dan een (eenmalig) project, zegt Frank van Vonderen, partner van Verdonck, Klooster & Associates en docent bij diverse IIR-opleidingen. “AVG inrichten als project is niet realistisch. Privacy heeft namelijk geen concreet eindresultaat, geen deadline en geen business case.”

Het is volgens Van Vonderen belangrijk om AVG-compliance niet alleen te zien als een project om verbeteringen door te voeren en aan regels te voldoen. Anders bestaat het risico dat er alleen veranderingen aan de oppervlakte worden doorgevoerd. De organisatie zet een register van verwerkingsactiviteiten op, maakt verwerkersovereenkomsten en voert een DPIA uit. Maar de kernvragen blijven daarmee onbeantwoord, waarschuwt Van Vonderen. “De werkelijke vraag is namelijk op welke manier privacy duurzaam kan worden geborgd binnen een organisatie. Wat is eigenlijk de impact van de AVG? Wat zijn nu de beoogde doelstellingen en resultaten en welke mensen, competenties en vaardigheden (inclusief de projectleider) zijn er nodig om de privacy wetgeving goed te laten landen?” Dat zijn geen eenvoudige vragen, geeft Van Vonderen toe. Maar het nadenken over de antwoorden is juist een manier om een stevig fundament te leggen voor structurele investeringen in AVG-compliance.

3. Nieuwe ontwikkelingen zijn aan de orde van de dag

De ePrivacy Verordening komt eraan, de ontwikkelingen in Artifical Intelligence gaan razendsnel, en toepassingen van blockchain roepen allerlei juridische vragen op. AVG-compliance is dan ook zeker niet de enige opgave van privacyprofessionals. Maar als kaderwet is de AVG wel een belangrijke pijler in het dagelijkse werk van de dataprotection officer – en een startpunt om actuele ontwikkelingen in de gaten te houden.

“Er is nog heel veel werk aan de winkel. Als je denkt dat je alles hebt gedaan aan AVG-compliance dan begint het eigenlijk weer opnieuw: er komen bijvoorbeeld nieuwe rechterlijke uitspraken en guidelines van toezichthouders, je start met nieuwe verwerkingen van persoonsgegevens….”, zegt Van der Jagt. “Privacy officers moeten een brede blik op het veld houden, de actuele ontwikkelingen kennen en met vakgenoten uit andere sectoren sparren. We weten nu zo’n beetje wat er in de AVG staat, maar de precieze en praktische uitwerking van alle wettelijke vereisten moeten we goed in de gaten houden.”

Als privacyprofessional goed voorbereid zijn op de toekomst? Volg de praktijkcursus FG in de publieke sector, de 4-daagse cursus Privacy Officer 2.0, of ga voor de beroepsopleiding Certified Data Protection Officer.

Aanbod trainingen & conferenties

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten