Print:

Wat Coolblue, FrieslandCampina en Heineken ons leren over AVG-compliance

In heel Europa zijn organisaties en ondernemingen druk bezig met de voorbereidingen op de Algemene verordening gegevensbescherming (AVG). Er valt veel van elkaar te leren. Privacy Officers van Coolblue, FrieslandCampina en Heineken delen hun ervaringen.

Dataprotectie is altijd een kwestie van maatwerk. Dat geldt zeker voor de implementatie van de AVG. Toch valt er veel te leren van de ervaringen van anderen. De tips van Coolblue, FrieslandCampina en Heineken.

  1. Ga aan de slag met open normen

Toestemming, Privacy by Design, Privacy by Default. De AVG staat vol met abstracte begrippen en open normen. Het advies van Legal Counsel Cassandra Moons van Coolblue: “Onderschat deze open normen niet, maar maak het ook niet te ingewikkeld en ga gewoon aan de slag. Zoek ook contact met andere bedrijven om te kijken hoe zij de implementatie aanpakken. Als je intern blijft kijken, weet je niet of je de goede kant opgaat.”

Tegelijkertijd investeert Coolblue in de interne kennis over dataprotectie. Zo is al vroegtijdig een Data Protection Officer (DPO) aangesteld. “Het wel of niet aanstellen van een DPO was voor ons geen punt van discussie”, aldus Moons. “Een bedrijf met ruim 2500 medewerkers en gemiddeld 13.000 orders per dag moet gewoon een DPO hebben. Dat verwacht de buitenwereld ook. Als er vragen zijn over privacy, dan moet een DPO die kunnen beantwoorden.”

  1. Maak werk van controle en overzicht

Voor een multinational zoals Heineken is de komst van de AVG een opgave voor het hoofdkantoor in Nederland én de afdelingen in de diverse Europese lidstaten waar de bierbrouwer actief is. Eén van de grootste uitdagingen is dat de autoriteiten in de verschillende landen het vaak niet eens zijn over de manier waarop bepaalde wettelijke vereisten worden ingevuld, zegt Anna den Hartog, hoofd van het Global Privacy Office van Heineken. “Dat maakt dat je bij sommige bepalingen zelf moet beslissen welke richting je op gaat, als die bepalingen nog niet duidelijk zijn. Van de autoriteiten krijg je dan namelijk niet altijd voldoende guidance.”

Juristen moeten daarom vaak zelf open normen interpreteren en beslissen wat de beste manier van handelen is. Uiteindelijk is het dan ook erg lastig om volledig aan alle regels te voldoen. De tip van Den Hartog: “Raak vooral niet in paniek. Ik hamer er juist op dat alle controls en alle processen kloppen, zodat je kunt aantonen dat je controle en overzicht hebt. Dan zal het dáár niet aan liggen als je niet compliant blijkt te zijn.”

  1. Geef het verwerkingsregister prioriteit

Veel organisaties zijn onder de AVG verplicht om informatie bij te houden over de verwerking van persoonsgegevens. In het zogenoemde register van verwerkingsactiviteiten staat onder andere welke soorten persoonsgegevens worden verwerkt, met wie de gegevens worden gedeeld en hoe de informatie wordt beveiligd.

De verantwoordingsplicht geldt voor alle organisaties en ondernemingen met meer dan 250 medewerkers. Ook kleinere organisaties kunnen ermee te maken krijgen, bijvoorbeeld als ze bijzondere persoonsgegevens verwerken. De Autoriteit Persoonsgegevens kan het register van verwerkingsactiviteiten opvragen en controleren.

Bedrijven die geen registerplicht hebben, doen er toch verstandig aan om een overzicht van de verwerkingen bij te houden, zegt Jan-Paul Verboom, Legal Counsel Privacy bij FrieslandCampina. “Het zorgt ervoor dat je in control bent over de gegevensstromen. Het vastleggen van de verwerkingen hoeft ook niet zo ingewikkeld te zijn. De grootste uitdaging is het up-to-date houden van het register.” Bij FrieslandCampina is daarom goed vastgelegd wie verantwoordelijk is voor het bijhouden van het register. Daarnaast worden medewerkers binnen de verschillende disciplines getraind op het gebied van privacy en dataprotectie, zodat ze bijvoorbeeld weten als in de organisatie sprake is van een nieuwe of aangepaste verwerking van persoonsgegevens die een plek verdient in het verwerkingsregister.

Jan-Paul Verboom - IIR

FrieslandCampina is bovendien in een vroeg stadium gestart met het uitvoeren van Privacy Impact Assessments (PIA). Daarmee krijgt de organisatie meteen waardevolle input voor het register van verwerkingsactiviteiten, vertelt Verboom. “Tijdens assessments beantwoord je vragen als ‘hoe lang bewaar je de data?’, ‘delen we de data met derde partijen?’, ‘wie heeft er toegang tot de data?’, ‘hoe is de toegang geregeld?’. Die vragen leveren allemaal informatie op die je ook nodig hebt voor het verwerkingsregister. Door PIA’s uit te voeren op verwerkingen, leg je dus een goede basis voor het verwerkingsregister.”

Meer inzichten, leerervaringen en tips horen van Privacy Officers die dagelijks aan de slag zijn met de AVG? Volg de IIR-praktijkcursus Privacy Officer 2.0. In deze vierdaagse training staat onder andere een unieke sparsessie over privacybeleid en -strategie op het programma. Daarin geven doorgewinterde Privacy Officers – werkzaam bij onder andere Nuon en de politie – antwoorden op al uw vragen.

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de opleidingsgids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten