Print:

Deze trends in dataprotectie zien de experts

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Op 25 mei 2018 startte een nieuw tijdperk in dataprotectie. Inmiddels is er steeds meer kennis over wat werkt om de Algemene verordening gegevensbescherming (AVG) na te leven. Drie ontwikkelingen om in de gaten te houden.

IIR Privacy

 

Voor de nieuwe regels en verplichtingen die de Algemene verordening gegevensbescherming (AVG) meebrengt is veel belangstelling. Als de basis eenmaal op orde is, doemt de vraag op: hoe zorgen we voor compliance? Drie ontwikkelingen die experts in het vizier hebben.

Register voor verwerkingen: meer dan een verplichting

“Het verwerkingsregister heb je nodig om compliant te zijn. Maar je kunt er nog veel meer mee.” Dat zegt Jasper de Windt, privacy consultant van One Trust. “De Britse Information Commissioner’s Office adviseert niet voor niets om er meer gegevens aan toe te voegen dan de AVG verplicht stelt. Denk aan een samenvatting van datalekken, een overzicht van toestemmingsverklaringen en een analyse van de uitkomsten van dataprotection impact assessments (DPIAs).”

De Windt ziet volop kansen voor organisaties om slim gebruik te maken van een verwerkingsregister. Bijvoorbeeld om privacyverklaringen uit te werken, securityrisico’s te identificeren, overzicht te houden over inzageverzoeken van betrokkenen, klantcontacten te registreren en reacties op datalekken te monitoren. “De voordelen zijn legio: het verwerkingsregister helpt bijvoorbeeld om de privacyverklaring up to date te houden en verzoeken van betrokkenen efficiënt af te handelen.” Er zijn volgens De Windt zelfs mogelijkheden om kosten te besparen. “Zo ontdekte een multinational door het bijhouden van het verwerkingsregister dat de twaalf verschillende CRM-systemen die op verschillende locaties in gebruik waren, konden worden teruggebracht tot een veel kleiner aantal. Het verwerkingsregister maakte namelijk duidelijk dat de meeste medewerkers precies dezelfde typen gegevens registreerden, maar daarvoor verschillende systemen gebruikten.”

Toestemming als corner stone

“Over toestemming bestaat nog altijd veel verwarring, vooral bij professionals die niet zijn gespecialiseerd in privacyrecht”, signaleert Bram Hoovers, privacy officer bij Philips. “Wanneer moet je toestemming voor een gegevensverwerking vragen? Hoe verhoudt het principe van toestemming zich tot de informatieplicht? Welke eisen stelt de AVG en welke vereisten vloeien voort uit de Telecomwet?” De antwoorden op deze vragen zijn belangrijker dan ooit, aldus Hoovers. “Toestemming van betrokkenen is een van de corner stones van de AVG – en ook van privacywetten in andere delen van de wereld.”

De guidelines van de European Dataprotection Board (EDPB) over rechtsgeldige voorwaarden om op basis van de AVG toestemming te verkrijgen zijn een welkome bron van informatie voor organisaties die worstelen met deze grondslag. Daarnaast zouden privacy officers alert moeten zijn op de toestemmingsgrondslag, zegt Hoovers. “Kijk goed in de wet over welke toestemming het precies gaat: gebruik je het als grondslag voor de verwerking van persoonsgegevens (uit artikel 6 van de AVG), of voor het verwerken van bijzondere persoonsgegevens (in de zin van artikel 9 van de AVG)? Of is er sprake van toestemming voor cookies of direct marketing?” In dat laatste geval gelden namelijk (ook) de vereisten uit de Telecomwet. “Pas als je weet wat de wettelijke vindplaats is van de toestemming die je vraagt, kan je bepalen aan welke voorwaarden je moet voldoen.”

Hoovers benadrukt dat binnen de AVG het vragen van toestemming niet in iedere situatie de juiste grondslag is. “Ga na of er misschien een andere grondslag mogelijk is voor een gegevensverwerking, zoals het gerechtvaardigd belang”.

De AVG in het DNA

“Compliance is niet iets dat geldt op 25 mei 2018. Het begint eigenlijk pas op die datum – en compliance moet je vervolgens continu doen en monitoren”, stelt Bram Hoovers. “Awareness is key. Je kunt nog zulke goede policies en procedures hebben, maar als medewerkers niet op de hoogte zijn van wat persoonsgegevens zijn en welke regels er gelden dan komt daar niets van terecht. De AVG moet echt in het DNA van de organisatie komen te zitten.” Bij de continue aandacht voor compliance hoort volgens Hoovers ook dat andere juridische ontwikkelingen in de gaten worden gehouden. “Denk niet dat je klaar bent als je de AVG eenmaal hebt opgepakt. De ePrivacy Verordening komt er aan en heeft ook impact op de verwerking van persoonsgegevens. Multinationals met kantoren buiten Europa kunnen bovendien te maken hebben met nationale wetgeving.”

Jasper de Windt waarschuwt voor een andere valkuil: het idee dat met het opstellen van het register van verwerkingsactiviteiten al is voldaan aan de wettelijke eisen (zoals die zijn neergelegd in artikel 30 AVG). “Het echte werk zit in het actueel houden van het register en het op peil houden van de privacy awareness.” Een actief privacyteam kan daarin een sleutelrol spelen, ziet De Windt. “Het team kan ervoor zorgen dat de samenwerking tussen verschillende afdelingen – zoals IT, HR en Legal – en een gedeeld beleid met heldere standaarden tot stand komen. Het aanstellen van privacy champions in verschillende afdelingen van de organisatie is een beproefde methode om dit proces te ondersteunen.” De Windt benadrukt tot slot het belang van audits. “Niet om medewerkers voortdurend met checklists om de oren te slaan, maar wel om zicht te houden op belangrijke wijzigingen die van invloed zijn op gegevensverwerkingen, dataprotectie en compliance.”

Op de hoogte blijven van actuele ontwikkelingen in dataprotectie en privacy? Lees meer over de opleidingen, trainingen en conferenties.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten