Print:

Dit is waar dataprotectie echt om gaat

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Voldoen aan de informatieplicht, invulling geven aan de verantwoordingsplicht, het vragen van rechtsgeldige toestemming voor een gegevensverwerking. De Algemene verordening gegevensbescherming (AVG) brengt allerlei complexe verplichtingen en regels mee. De praktijkervaringen van experts helpen om prioriteiten te stellen.

IIR Privacy

 

Creëer bewustwording over de bestaande en nieuwe regels. Dat staat bovenaan de korte checklist over privacycompliance die Jean Paul van Schoonhoven samenstelde voor IIR. Ook in het stappenplan voor de implementatie van de Algemene verordening gegevensbescherming (AVG) van de Autoriteit Persoonsgegevens (AP) staat bewustwording op de eerste plek.

Awareness over de veranderingen die de AVG meebrengt mag gerust het startpunt voor compliance genoemd worden. Maar voor de succesvolle naleving van de AVG komt nog veel meer kijken. De opgaven kunnen overweldigend zijn. Drie tips van experts om de hoofdzaken van de bijzaken te onderscheiden.

Kijk verder dan de AVG

“Organisaties die internationaal opereren, of al werken met binding corporate rules, zijn gewend om continu aandacht te hebben en te houden voor dataprotectie”, zegt Bram Hoovers, privacy officer bij Philips. De structurele aandacht voor het thema privacy is volgens Hoovers bepalend voor het succes van compliance. “Niet alleen op het vlak van de AVG, maar ook als het gaat om andere wet- en regelgeving. Een goed privacyprogramma kijkt verder dan de AVG en let ook op nieuwe wetgeving, zoals de ePrivacy Verordening, en op nationale wetten buiten Europa.”

Volgens Nienke Koorn, privacy officer bij WeTransfer, is aandacht voor de concrete uitwerking van wettelijke normen hierbij een belangrijke pijler. “Hoe geef je invulling aan open normen en onduidelijke termen, zoals het recht op inzage en dataportabiliteit uit de AVG? Daar hoort naar mijn idee ook bij dat je eerlijk durft te zijn als je nog niet voldoet aan alle wettelijke verplichtingen. Sterker nog, je kunt je afvragen of het überhaupt mogelijk is voor multinationals, gemeenten en andere complexe organisaties om voortdurend en volledig compliant te zijn.”

Zorg voor extra ogen en oren

“Tooling helpt om uitvoering te geven aan de vereisten van de AVG, maar is niet de sleutel tot succesvolle compliance. Een organisatiebrede awareness van de regels en richtlijnen is daarentegen key”, zegt Hoovers. Om de awareness op orde te krijgen ligt een programma met voorlichting en trainingen voor de hand. “Medewerkers moeten kennis en vaardigheden opdoen over de wettelijke eisen en de zorgvuldige omgang met persoonsgegevens.”

Naast een educatieprogramma kunnen ook privacy champions en andere interne ambassadeurs hun waarde bewijzen. Hoovers: “Met name voor grote organisaties is het waardevol om mensen met privacy expertise in de business te hebben. Je kunt als privacy officer niet overal zijn. De extra ogen en oren zijn dan een welkome aanvulling.”

Let op de business

“Honderd procent compliant zijn is een utopie. Je kunt in control zijn, weten wat er met data gebeurt en bewustwording van dataprotectie stimuleren. Maar als niet helemaal duidelijk is hoe je precies voldoet aan complexe begrippen uit de AVG, zoals dataportabiliteit, dan kan van compliance simpelweg geen sprake zijn”, nuanceert Koorn de focus op compliance. “Het draait in essentie ook veel meer om de vraag: hoe kunnen we optimaal invulling geven aan wat we als bedrijf belangrijk vinden op het vlak van dataprotectie?”

Volgens Koorn zorgt zo’n benadering ervoor dat dataprotectie geen rem zet op de bedrijfsvoering. “Als je persoonsgegevens goed gebruikt en betrokkenen weten wat je ermee doet dan kunnen innovatie en privacy heel goed samen gaan. Een bedrijf als Mozilla, dat al bijna vijftien jaar succesvol opereert en zich altijd sterk maakt voor de privacy van zijn gebruikers, laat dat wel zien. Van dat soort pioniers kunnen we heel veel leren.”

Alles weten over AVG-compliance? Volg de praktijkcursus FG in de publieke sector, de vierdaagse cursus Privacy Officer 2.0, of ga voor de beroepsopleiding Certified Data Protection Officer.

Verder lezen?

Laat uw e-mail achter en ontvang de Dataprotectie & privacy gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten