Print:

De uitdagingen van de AVG

Redactie IIR, Trainingen en congressen

LinkedIn profiel

AVG CountdownTijdens het AVG Countdown congres op 21 en 22 februari 2018 spraken verschillende ervaringsdeskundigen over de aanstaande Algemene Verordening Gegevensbescherming (AVG), die persoonsgegevens van particulieren en bedrijven beter zal gaan beschermen. Voor bedrijven en organisaties heeft deze aangekondigde wetgeving grootschalige gevolgen, maar zijn deze bedrijven en organisaties er al klaar voor? Tijdens het congres werd veel duidelijk over het antwoord op deze vraag en hoe bedrijven er mee omgaan.

Een goede voorbereiding

Vóórdat bedrijven zich druk gaan maken over de AVG, is het volgens Joke Bodewits (advocaat gespecialiseerd in privacy en cyber security recht bij Hogan Lovells) van belang dat ze hun datastromen goed in kaart hebben.

“Bedrijven moeten in de eerste plaats weten wat hun datastromen zijn”, aldus Bodewits. “Weet wat je verwerkt en voor welke doeleinden, wat je daarover gecommuniceerd hebt, maar ook met wie je die data deelt en wat voor contractuele afspraken er met die partijen gemaakt zijn.” Volgens Bodewits zou dat het startpunt moeten zijn voor een onderzoek van wat je binnen je organisatie doet met persoonsgegevens.

Toch is nog lang niet iedereen klaar voor 25 mei as. Van de congresbezoekers gaf 84% aan dat zijn of haar organisatie dan nog niet klaar is met het doorvoeren van verplichtingen uit de AVG. Ook zijn bezoekers verdeeld over wat een last onder dwangsom is. Dat komt omdat deze kennis nog niet aanwezig is en omdat wetgeving en guidance nog in ontwikkeling zijn. De AVG brengt de nodige uitdagingen met zich mee.

Uitdagingen van de AVG

De AVG laveert momenteel nog in een grijs gebied. Waar liggen de grenzen? Nu de AVG eraan komt, moet er dan ook een eigendomsrecht voor persoonsgegevens komen? Iets meer dan de helft van de bezoekers zegt ‘nee’. Dit soort vragen behoort tot de uitdagingen die compliance aan de AVG met zich meebrengt.

Een andere uitdaging is om te voldoen aan de verwachtingen die de AVG aan ons stelt, vindt Simone Fennell, privacy-adviseur bij de gemeente Tilburg. “De wet stelt een aantal zaken verplicht, maar er wordt niet gezegd dat je goed moet nadenken over hoe je met gegevens omgaat. Gegevensmanagement kan bijdragen aan de verplichtingen die vanuit de AVG gesteld worden. Het recht om bezwaar te maken tegen gegevensverwerking maakt namelijk geen deel uit van de AVG (hoewel slechts 64% van de aanwezigen aangeeft dit te weten).

Een andere manier om de transitie naar de AVG te versoepelen, is om veel kennis en ervaringen te delen met lotgenoten. Dat vindt althans Wilfred Steenbruggen, privacy-advocaat bij Bird & Bird: “Op een congres als deze krijgen organisaties de kans om praktijken waar mee ze zitten te bespreken met hun lotgenoten en die ook voor te leggen aan experts die dagelijks bezig zijn met de moeilijke vragen die de AVG met zich meebrengt.” Veel bedrijven worstelen met de kansen en de verplichtingen die ze onder de AVG hebben en hoe ze die moeten implementeren. Ook bepaalde consequenties die de AVG met zich meebrengt, laten de aanwezigen verdeeld. De meningen zijn gelijkmatig verdeeld over de stelling dat de verplichtingen voor bedrijven in balans zijn met de verhoogde privacybescherming van betrokkenen. Verder is het men niet eens dat de AP en het EDPB (Europees Toezichthouder voor gegevensbescherming, voorheen WP29) politieke goedkeuring moeten ophalen bij inkleuring van open normen binnen de AVG.

Waar de aanwezigen het wel over eens waren, is wat voor hun de grootste uitdaging gaat worden bij de implementatie van de AVG. Bijna 70% ziet het aantoonbaar maken van de naleving van de AVG als grootste uitdaging.

Hoe word je AVG-ready?

Van theorie naar praktijk: daar hebben bedrijven nog tot 25 mei as voor. Maar hoe doe je dat? Hoe word je AVG-ready? Joseph Mager, Information Security Officer bij NS, vertelt met name over hoe technische en organisatorische vereisten voor de AVG eenvoudig kunnen worden gerealiseerd door gebruik te maken van binnen het bedrijf reeds bestaande zaken. Waarom zou je het wiel opnieuw uitvinden? “Vaak hebben bedrijven informatiebeveiliging al goed ingericht”, zegt Mager. “Je moet goed in kaart brengen wat je doet en welke verwerkingen je verricht. Vervolgens communiceer je de resultaten naar je klanten en medewerkers in een transparante verslaglegging.” Voor grote bedrijven komt daar volgens Mager nog bij dat er veel gebeurt en er ook veel in kaart moet worden gebracht.

Privacy platform

Peter van Schelven, juridisch adviseur en dagvoorzitter van het IIR-congres, ziet net zoals Wilfred Steenbruggen de voordelen van het AVG-countdown congres. “Mensen hebben veel kennis opgedaan, maar er is nog veel kennis te vergaren. Daarvoor is het privacy-platform van IIR beschikbaar. Daar vind je niet alleen een mooi aanbod van wat er nog aan privacy en security opleidingen en trainingen beschikbaar is, maar ook heel veel praktische informatie, vastgelegd in blogs en allerlei informatiebronnen. Raadpleeg die en help jezelf een stap verder op de leercurve!”

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten