Print:

Het jaar van de AVG: stilte voor de storm

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Voor privacy professionals mag 2018 gerust een historisch jaar genoemd worden. Wat valt op nu het stof na 25 mei is neergedaald? En wat brengt de toekomst? Jean Paul van Schoonhoven kijkt terug op de invoering van de Algemene verordening gegevensbescherming (AVG) en blikt vooruit naar de toekomst van dataprotectie.

Jean Paul van Schoonhoven | IIRVoor de data protection officer (dpo) van Uber was 2018 misschien niet het beste jaar. Dat geldt ook voor de privacy professionals bij onder andere de politie, TGB, Yahoo, Facebook, Heathrow, UWV en het Portugese ziekenhuis Centro Hospitalar Barreiro Montijo. Al deze organisaties kregen dit jaar een sanctie van een Europese privacytoezichthouder opgelegd. Bij Uber bedroeg de boete van de Autoriteit Persoonsgegevens (AP) 600.000 euro.

Voor veel andere privacy officers bracht het jaar waarin de Algemene verordening gegevensbescherming (AVG) in werking trad best goed nieuws. “Het vak is volwassen geworden en er is volop aandacht voor het thema dataprotectie”, zegt Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van diverse IIR-trainingen over dataprotectie. “De professionaliteit en expertise van privacy professionals – of het nu privacy officers zijn, of Functionarissen voor de Gegevensbescherming (FG’s) – nemen toe. Men wordt steeds meer (h)erkend als serieuze gesprekspartner. De rechtsontwikkeling binnen het beroeps- en vakgebied neemt bovendien een hoge vlucht.”

Op de juiste waarde geschat

Tegelijkertijd staan privacy professionals nog altijd voor flinke uitdagingen, signaleert Van Schoonhoven, die als adviseur en als externe FG bij verschillende organisaties de dagelijkse praktijk van dichtbij meemaakt. “Niet alle privacy officers en dpo’s worden al op de juiste waarde geschat. Het belang van dataprotectie wordt ook nog niet overal erkend, waardoor compliance op het bestuurs- en managementniveau soms onvoldoende hoog op de agenda staat.”

“Er wordt nogal eens gedacht dat alles is opgelost als er eenmaal een privacy officer of FG is aangesteld,” zegt Van Schoonhoven over de ontwikkelingen die hem zijn opgevallen in de eerste maanden sinds de komst van de AVG. “Veel bestuurders, managers of andere intern verantwoordelijken denken bovendien dat een eenmalige actie voldoende is om het risico van overtredingen aan te pakken. Er komt bijvoorbeeld een implementatieproject voor de AVG en er worden een aantal stappen gezet om tot compliance te komen. Er wordt een register van gegevensverwerkingen opgezet, een data protection impact assessment (DPIA) uitgevoerd en een verwerkersovereenkomst opgesteld. Dat is een positieve ontwikkeling, maar de compliance is daarmee nog niet volledig in orde.”

Voorbij de hype

Is in de maanden na 25 mei de aandacht voor AVG-vraagstukken bij organisaties wat verslapt? Van Schoonhoven denkt dat het hoogtepunt van de AVG-hype wel voorbij is. “De ontwikkelingen in het toezicht hebben hierin een belangrijke rol gespeeld: er zijn tot voor kort nauwelijks boetes of dwangsommen uitgedeeld en er is veel gesproken over de onzekere interne situatie bij de AP.”

Van Schoonhoven spreekt van een stilte voor de storm. “De handhaving mag tot nu toe relatief onzichtbaar zijn geweest, iedereen die de boel niet op orde heeft, loopt het risico om aan de beurt te komen. Een onderzoek van de AP duurt lang, dus nieuwsberichten over handhavende acties kunnen nog komen. Bovendien kan non-compliance leiden tot vertrouwensissues bij je stakeholders.”

“Veel organisaties zitten nog middenin een inhaalslag: de naleving van de Wet bescherming persoonsgegevens was niet op orde en nu is het een enorme klus om ineens aan de AVG te voldoen”, aldus Van Schoonhoven. “Maar start gewoon! Een olifant eet je ook hap voor hap. Als je eenmaal bezig bent, ontdek je misschien pas echt wat er allemaal nog niet geregeld is. Omarm de verwondering over het achterstallige onderhoud en oordeel niet meteen te hard. Door er mee aan de slag te gaan, volgt na de eerste beklemming vanzelf het gevoel van bevrijding. En naarmate je meer bezig bent met het risicobeheersingsbouwwerk ontdek je ongetwijfeld dat dataprotectie eigenlijk ontzettend uitdagend en leuk is.”

Niet meer zelf knutselen

“Het wordt in zekere zin eenvoudiger om privacy professional te zijn”, zegt Van Schoonhoven over de nabije toekomst. “Waar privacy professionals in het verleden nogal eens solistisch opereerden en zelf aan het knutselen sloegen met overeenkomsten en formulieren, zijn er nu steeds meer informatiebronnen, handboeken, naslagwerken, gidsen, best practices, modellen, fora, netwerken en conferenties om praktische kennis op te doen.” Van Schoonhoven noemt als voorbeelden de SDU wettenverzameling privacyrecht, waarin meer dan honderd privacywetten zijn verzameld, de online kennisbank over privacy en dataprotectie van IIR en actuele seminars over nieuwe ontwikkelingen zoals de ePrivacy Verordening.

“Er ontstaan ook steeds meer informele communities die losstaan van formele organisaties zoals het NGFG en de VPR”, voegt Van Schoonhoven toe. “De uitdagingen waar privacy professionals voor staan, zijn nu eenmaal groot en divers. Dat vraagt om prioriteiten stellen en onderbouwde keuzes maken. Overleg met peers helpt daarbij. Samen met vakgenoten zorgen privacy officers dan dat het interne commitment bij dataprotectie versterkt en het privacyvolwassenheidsniveau van een organisatie toeneemt. Groeien in AVG-compliance doe je namelijk alleen door ermee bezig te blijven en niet steeds opnieuw het wiel te willen uitvinden.”

Nog meer actuele (vak)kennis over privacy opdoen? Volg dan de vierdaagse praktijkcursus Privacy Officer 2.0.

Meer informatie?

Laat uw e-mail achter en ontvang de Privacy Officer 2.0 brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten