Print:

Wat zijn belangrijke aandachtspunten bij de implementatie van de AVG

Lynsey Dubbeld, Contentstrateeg

LinkedIn profiel

Met de komst van de Algemene verordening gegevensbescherming (AVG) is de to-dolijst van privacyprofessionals overvol . Drie zaken om tussen al het geregel van praktische zaken niet uit het oog te verliezen.

Een verwerkingsregister inrichten, bewerkersovereenkomsten opstellen, privacystatements aanpassen, privacy impact assessments (PIA’s) uitvoeren. Het is een kleine greep uit de vele acties die privacyprofessionals bij de implementatie van de AVG binnen een organisatie op hun bordje krijgen.

Met alle praktische zaken die geregeld moeten worden, bestaat het risico dat onderwerpen die vragen om tijd voor rustige reflectie buiten beeld raken. Drie thema’s om toch op als prioriteit op de to-dolijst te noteren.

Doe het ethisch huiswerk

Volgens hoogleraar Jeroen van den Hoven hebben privacyprofessionals ethisch huiswerk te doen. Bij de implementatie van de AVG ligt de focus doorgaans op de technische en organisatorische maatregelen voor de bescherming van persoonsgegevens. Denk aan dataminimalisatie, pseudonimisering en encryptie. “Maar als je de AVG volledig op een technische manier invult, is compliance geen vanzelfsprekendheid”, waarschuwt Van den Hoven, hoogleraar aan de faculteit Techniek, Bestuur en Management van de TU Delft. Open normen uit de AVG – zoals gerechtvaardigd belang, toestemming en transparantie – moeten verantwoord worden ingevuld. “En dat kun je alleen doen met een reflectie op wat je denkt dat goed is. Ethiek helpt je om de juiste morele afwegingen te maken.

Volgens de hoogleraar zijn privacyprofessionals vooral gewend om bezig te zijn met zogenoemde ‘functional requirements’ zoals data-opslag en ICT-beveiliging. Maar de ‘non-functional requirements’ zijn minstens zo belangrijk. “Non-functional requirements draaien om morele, emotionele en juridische waarden. Zo’n waarde moet je als vertrekpunt nemen en vervolgens specificeren en decomponeren”, legt Van den Hoven uit. “Dat gaat in stapjes. Zo heeft de inrichting van een oplossing voor rolebased access betrekking op bijvoorbeeld data, gebruikers en gebruik. Als je dat in een matrix stopt, moet je voor iedere cel een ethisch verhaal hebben waarom je het zo hebt gedaan en niet anders. Accountability onder de AVG houdt ook in dat je hierover hebt nagedacht.” 

Van den Hoven drukt privacyprofessionals op het hart om zeker aan de slag te gaan met de morele aspecten van de AVG. “Schrik niet van ethiek. Als je het weet te omarmen, voegt ethiek een dimensie toe aan je werk. Het helpt je om zicht te houden op het hogere doel.

Gebruik jip-en-janneketaal

Een van de primaire uitgangspunten van de AVG is dat betrokkenen inzicht en zeggenschap hebben over hun persoonsgegevens. Dit betekent dat organisaties moeten zorgen dat betrokkenen de privacyrechten uit de AVG kunnen uitoefenen. Naast het recht op bijvoorbeeld inzage, correctie, aanvulling en verwijdering van persoonsgegevens – al bekend uit de Wet bescherming persoonsgegevens (Wbp) – gaat het bij de AVG ook om onder andere het recht op dataportabiliteit en het recht op vergetelheid.

“De essentie van privacywetgeving is dat je als betrokkene controle kun uitoefenen over de gegevens die over jou gaan”, aldus jurist en privacyadviseur Simone Fennell. “Dat kan alleen als organisaties in jip-en-janneketaal uitleggen welke gegevens ze van je hebben en wat ze daarmee doen. Organisaties hebben ook de verplichting om daar transparant over te zijn, want privacy is een grondrecht en daarmee ook een belangrijk onderdeel van het maatschappelijk verantwoordelijk ondernemen.

Begrijpelijke en open communicatie over privacybeleid is dan ook een belangrijk aandachtspunt bij AVG-implementatie. Dat is niet altijd eenvoudig, erkent Fennell. “Privacy is een vakgebied dat wordt gedomineerd door juristen, en als jurist kan ik zeggen dat die meestal niet zo goed zijn in jip-en-janneketaal. Helder communiceren is echt een vak apart. Zoek daarom de samenwerking met de afdeling communicatie én laat je boodschap lezen door iemand die echt niets van het onderwerp afweet.” Zo’n externe blik is een slimme manier om de begrijpelijkheid van de gekozen communicatieboodschappen te checken.

Volgens de Fennell, die ook werkt als privacyadviseur bij de gemeente Tilburg, is privacycommunicatie vooral voor overheden een bijzondere opgave. Burgers hebben bij allerlei overheidsdiensten immers weinig tot geen keuzevrijheid. “Als klant van een webshop stap je probleemloos over naar een andere aanbieder. Maar wat doe je als je het niet eens bent met de manier waarop jouw gemeente omgaat met jouw gegevens? Verhuizen?”

Zoek lotgenoten

Een beproefde manier om de transitie van de Wbp naar de AVG te versoepelen, is om veel kennis en ervaringen te delen, zegt Wilfred Steenbruggen, privacy-advocaat bij Bird & Bird. Veel bedrijven worstelen met de kansen en de verplichtingen die ze onder de AVG hebben en hoe ze die moeten implementeren. “Tijdens congressen, trainingen en opleidingen krijgen organisaties de kans om praktijken waarmee ze zitten te bespreken met lotgenoten en die ook voor te leggen aan experts die dagelijks bezig zijn met de moeilijke vragen die de AVG meebrengt.”

Joseph Mager, Information Security Officer bij NS, benadrukt dat het helpt om bij technische en organisatorische vereisten uit de AVG gebruik te maken van binnen het bedrijf al bestaande processen, systemen en procedures. “Vaak hebben bedrijven informatiebeveiliging al goed ingericht”, zegt Mager. Dat biedt een goede basis om AVG-compliance ter hand te nemen. “Je moet goed in kaart brengen wat je doet en welke verwerkingen je verricht. Vervolgens communiceer je de resultaten naar je klanten en medewerkers in een transparante verslaglegging”, vat Mager de aanpak samen.

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten