Print:

Privacy moet een kwaliteitscriterium zijn

Ferry Waterkamp , Journalist

LinkedIn profiel

Berichtgeving over de Algemene Verordening Gegevensbescherming gaat meestal over de miljoenenboetes die de Autoriteit Persoonsgegevens vanaf 25 mei 2018 kan opleggen. Toch heeft Klaas Bruin, beleidsadviseur bescherming persoonsgegevens bij de politie, een dringend advies aan functionarissen die hun organisatie voorbereiden op de AVG: “Gebruik de boetes niet als argument voor compliance met de AVG.”

Zeker organisaties die vandaag de dag nog niet voldoen aan de Wet bescherming persoonsgegevens (Wbp) moeten volgens Bruin ‘een hoge berg over’ richting compliance met de AVG. “Je moet eerst nog uitvinden welke verwerkingen van persoonsgegevens plaatsvinden en wie daar verantwoordelijk voor zijn.”

“Vervolgens moet je nagaan hoe ze aan die data komen, hoe ze worden opgeslagen en hoelang ze worden bewaard”, zegt Bruin. “Heb je data ooit verzameld omdat ze misschien in de toekomst handig zouden kunnen zijn? Dan was er geen gerechtvaardigd doel voor de dataverzameling en kom je er onder de AVG niet meer mee weg.”

Uitdagingen AVG

Maar ook bij overheden en private partijen die onder de Wbp hun zaakjes al wel op orde hebben, zorgt het compliancetraject voor de nodige uitdagingen. Dat merkt Bruin ook in de praktijk bij de politie die in de dagelijkse bedrijfsvoering met de AVG te maken krijgt. Zo is een overheidsinstantie als de politie verplicht een Functionaris Gegevensbescherming aan te stellen die optreedt als een ‘onafhankelijke interne toezichthouder’.

“Om toezicht te kunnen houden, is het cruciaal dat vooraf wordt geanalyseerd waar de risico’s voor de bescherming van de persoonsgegevens zitten”, aldus Bruin. Aan de hand van een Privacy Impact Assessment (in goed Nederlands een ‘gegevensbeschermingseffectbeoordeling’) moet de impact van die risico’s worden vastgesteld. “Het is belangrijk dat er een sterk samenspel is tussen de Functionaris Gegevensbescherming, de decentrale privacyadviseurs, de verantwoordelijke voor de verwerking en de afdeling Informatiebeveiliging die de risicoanalyse moet maken.”

Aan de slag

Een goede samenwerking is volgens Bruin ook van groot belang in de voorbereiding op de AVG. “Doe het niet alleen. Zoek hulp, maar houd de verantwoordelijkheid wel bij de persoon die verantwoordelijk is voor de dataverwerking. En begin gisteren. Organisaties van groot tot klein moeten nu echt aan de slag.”

“Daarbij helpt het om het commitment te hebben van het topmanagement”, stelt Bruin. Het onderwerp ’bescherming persoonsgegevens’ moet op het hoogste niveau op de agenda staan. “Anders krijg je te horen: ‘Heb je hem weer met zijn privacy. Ik heb nu even geen tijd voor je.”

Om ‘privacy’ op de agenda van het topmanagement te krijgen, helpt het volgens Bruin niet om te dreigen met de boetes die de AP kan opleggen als bijvoorbeeld de bescherming van persoonsgegevens onrechtmatig is. Dat doet volgens de beleidsadviseur geen recht aan het grote belang dat privacy heeft voor organisaties. “Privacy moet een kwaliteitscriterium zijn om goed en zorgvuldig met de gegevens van burgers, leveranciers en klanten om te gaan. De Functionaris Gegevensbescherming moet privacy ook als een product kunnen verkopen.”

AVG IIR

Meer weten over hoe u zich voorbereidt op de AVG? Bezoek dan op 16 mei het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’. Beleidsadviseur Klaas Bruin van de Politie zit tijdens dit congres een rondetafel voor over hoe u bijvoorbeeld draagvlak voor de AVG creëert en de juiste governancestructuur opzet.