Print:

Dit zijn nu de belangrijkste dossiers uit de AVG

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Voor allerlei onderdelen van de Algemene verordening gegevensbescherming (AVG) zijn inmiddels handreikingen beschikbaar. Ook toezichthouder Autoriteit Persoonsgegevens (AP) geeft steeds meer guidance. Maar welke issues vragen nu eigenlijk de meeste aandacht? Drie impactvolle dossiers op een rij.

 

Over de nieuwe verplichtingen en regels uit de Algemene verordening gegevensbescherming (AVG) is inmiddels een uitgebreid aanbod aan handboeken, checklists, stappenplannen en tools beschikbaar. Voor verschillende onderdelen uit de wet – van het opstellen van privacyverklaringen tot het vastleggen van procedures voor inzageverzoeken – zijn praktische handreikingen verschenen.

Om privacyprofessionals extra te ondersteunen bij hun inzet op AVG-compliance lanceerde IIR tijdens het Dataprotectie en Privacy Congres 2018 het “Werkboek AVG compliance“. De online publicatie zet praktische handleidingen, checklists, FAQ’s, cases en verdiepende artikelen op een rij. In een korte checklist voor privacy zet Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van IIR-opleidingen zoals FG in de publieke sector en AVG-compliance, de belangrijkste dossiers en stappen van de AVG-implementatie op een rij.

Wat zijn anno 2019 nu precies de drie meest impactvolle AVG-opgaven? Drie inzichten uit de praktijk.

1. Het start allemaal met awareness

In het tienstappenplan van de Autoriteit Persoonsgegevens (AP) voor de implementatie van de AVG staat bewustwording op nummer één. Awareness van de nieuwe regels – en de impact ervan op de werkprocessen, producten en diensten van de organisatie – zijn essentieel voor een succesvolle naleving, aldus de AP.

Ook de checklist van Van Schoonhoven zet de schijnwerpers nadrukkelijk op privacy awareness. Pas als er bewustwording van de bestaande en nieuwe regels is, kan de privacy governance worden ingericht, zo is in het stappenplan te zien. Een overzicht van de belangrijkste redenen om de wet na te leven helpt hierbij. Privacy is niet alleen een internationaal grondrecht, schrijft Van Schoonhoven. Overtredingen van de AVG kunnen leiden tot boetes en andere sancties – en ook nog eens tot reputatieschade. Bovendien kunnen preventieve maatregelen op de lange termijn kosten besparen, bijvoorbeeld als daardoor efficiënt kan worden omgegaan met betrokkenen die gebruik maken van hun nieuwe rechten, zoals het recht op inzage en verwijdering.

2. Naleving moet worden aangetoond

Accountability is een van de meest ingrijpende veranderingen die de AVG meebrengt. De naleving van de wet betekent dat organisaties de verantwoordelijkheid hebben om aan te tonen dat ze aan de regels voldoen. Dat gebeurt vooral via het register van verwerkingsactiviteiten. Maar ook het uitvoeren van een data protection impact assessment (DPIA) en het registreren van de toestemming die betrokkenen hebben gegeven voor verwerking van hun persoonsgegevens kunnen verplicht zijn.

Van Schoonhoven adviseert organisaties dan ook om een raamwerk samen te stellen om te zorgen dat aantoonbaar aan de wet wordt voldaan. Hierin kunnen naast verplichte instrumenten zoals het verwerkingsregister ook extra maatregelen een plek krijgen. De AP adviseert bijvoorbeeld om aan te sluiten bij een gedragscode, een certificering te behalen en een privacyjaarverslag op te stellen.

3. De toezichthouder treedt op

In de aanloop naar de invoering van de AVG is er veel over gespeculeerd: hoe zou de Nederlandse toezichthouder de wet gaan handhaven? Richten de handhavende onderzoeken zich vooral op multinationals en bekende merken, of lopen ook het MKB en de overheid het risico de toezichthouder aan de deur te krijgen? En deelt de AP bij overtredingen direct hoge boetes uit?

Inmiddels is duidelijk dat de toezichthouder sterk inzet op voorlichting en guidance, en daarnaast onderzoek uitvoert bij een breed scala aan sectoren. Zo zijn er onderzoeken gestart bij onder meer dertig grote organisaties uit tien private sectoren, bij zorginstellingen en politieke partijen en bij ziekenhuizen en zorgverzekeraars. Zoals Sabine Stravers van DMCC recent constateerde: het kan elke organisatie overkomen dat de AP op de stoep staan. Daarmee behoren privacy-audits en andere instrumenten om te werken aan compliance en accountability onmiskenbaar tot een topprioriteit.

Van opgaven naar prioriteiten

Het mag duidelijk zijn: het werk van privacy officers is anno 2019 uiterst complex, en vraagt om diepgaande kennis op diverse terreinen. Een overzicht van de belangrijkste opgaven helpt om de juiste prioriteiten te stellen.

Kennis op het vlak van de AVG verdiepen? Volg dan de praktijkcursus Privacy Officer 2.0, de praktijkcursus FG in de publieke sector, of ga voor de beroepsopleiding CDPO.

Volledig aanbod privacy opleidingen inzien?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.