Print:

Nieuwe verplichtingen in de AVG: wat moet u weten?

Steffie Bom , Tekstschrijver

LinkedIn profiel

De Europese Privacy Verordening (AVG) kent een hoop nieuwe verplichtingen voor organisaties. De Meldplicht Datalekken gaat (weer) veranderen en de documentatieplicht wordt geïntroduceerd. Thomas van Essen, partner bij SOLV, vertelt hier meer over. “Protocollen hebben pas zin, als je de data en de datastromen kent.”

Documentatieplicht: behoorlijke omslag

“Een belangrijk nieuw onderdeel van de AVG is de documentatieplicht. Het vergroot de verantwoordelijkheid voor een data life cycle management (datahuishouding) dat conform de regels is. Op grond van de documentatieplicht moeten bedrijven, in het kader van een mogelijk onderzoek door de Autoriteit Persoonsgegevens, kunnen aantonen: de manier waarop data wordt verzameld, voor welke doeleinden, door welke personen binnen en buiten de organisatie, welke verwerkingen de data ondergaan, wat de technische infrastructuur is en wat er gebeurt in het geval van een datalek. Het merendeel van de organisaties in Nederland hebben hier geen zicht op, laat staan dat ze het hebben gedocumenteerd. Het vergt dus een behoorlijke omslag”, aldus Van Essen.

Eerst de basis, dan de protocollen

“Een aantal partijen is gelukkig nu al aan het voorsorteren op de inwerkingtreding van de AVG op 25 mei 2018”, zegt Van Essen. “Deze datum lijkt misschien ver weg, maar het inzichtelijk maken is een behoorlijke exercitie die veel tijd in beslag neemt. De technologie heeft de afgelopen tien jaar een enorme vlucht genomen. Je kunt je voorstellen dat de manier waarop jaren geleden informatie werd verwerkt heel anders is dan nu. Behalve dat organisaties hier onvoldoende zicht op hebben, zijn veel contracten en documenten niet meer toereikend. Het is daarom belangrijk dat organisaties het nu al oppakken. Ook met het oog op een Privacy Impact Assessment die straks voor bepaalde type verwerkingen verplicht gaat worden. Zo’n impact assessment kun je alleen doen als je weet welke data je hebt en waar die staat. Als je dit allemaal weet heeft het zin om beleid en protocollen op te stellen.”

Meldplicht Datalekken verandert

Zijn we net enigszins bekend met de nieuwe Meldplicht Datalekken van 1 januari 2016, gaat deze weer veranderen. “De Meldplicht Datalekken zoals die in de AVG is opgenomen, is anders dan de meldplicht zoals wij die nu kennen. Op dit moment hoef je een datalek pas te melden als er ernstige nadelige gevolgen voor de persoon in kwestie kunnen optreden. In de AVG staat dat elke datalek gemeld moet worden, tenzij het geen risico oplevert voor de persoonlijke levenssfeer. Op het eerste oog lijkt het misschien hetzelfde, maar dat is het zeker niet. Het is een hele andere insteek en daarom voorzie ik problemen. Het is relatief nieuwe materie en iedereen is net gewend aan de manier waarop het nu is geregeld. En op korte termijn wordt het al weer gewijzigd. Daar komt bij dat de protocollen die recent zijn opgesteld en afspraken met bewerkers die recent gemaakt, aangepast moeten worden”, aldus Van Essen.

Interpretatieverschillen

“Iets anders is dat men er vanuit gaat dat, na de komst van de AVG, er binnen Europa op het gebied van privacy geen interpretatieverschillen meer bestaan. Niets is minder waar. Ook al geldt de AVG voor alle lidstaten en heeft deze rechtstreekse werking, er zijn veel ‘open einden’ die de lidstaten zelf verder mogen uitwerken. Een voorbeeld is de verwerking van persoonsgegevens van kinderen tot 16 jaar. Hiervoor is toestemming van de ouders of voogd nodig. In de AVG staat dat de organisatie die deze gegevens verwerkt gehouden is een redelijke inspanning te leveren, om te verifiëren of deze toestemming is gegeven. Wat een redelijke inspanning is, wordt echter niet toegelicht.”

Vergelijkbaar is volgens van Essen het gebruik van cookies. De AVG bepaalt dat de betrokkene hier ondubbelzinnig mee moet instemmen, door middel van een duidelijke actieve handeling zoals een schriftelijke verklaring. “Betekent dit dat een impliciet opgestelde toestemming niet is toegestaan? Dit is voer voor juristen. Al met al is er in 2018 nog steeds geen geheel uniform privacybeleid. Het blijft op bepaalde punten onzeker voor partijen, of ze het wel of niet goed doen.”

Van Essen verzorgt tijdens ‘Dag van de Privacy Officer’ op donderdag 10 november 2016 een workshopsessie. Hij gaat dieper in op alle nieuwe verplichtingen en begrippen die de AVG introduceert, alsook welke ‘open einden’ er nog meer zijn.