Print:

Zo groeien de koplopers nu in privacyvolwassenheid

Lynsey Dubbeld , Contentstrateeg

LinkedIn profiel

Veel organisaties hebben de basis voor naleving van de Algemene verordening gegevensbescherming (AVG) inmiddels op orde. Maar hoe groeien we nu in privacyvolwassenheid? Over deze vraag wisselden experts van toonaangevende organisaties van gedachten tijdens het Dataprotectie & Privacy Congres 2019. De drie belangrijkste lessons learnt.

Rond de komst van de AVG hebben veel organisaties de basis voor naleving van de nieuwe regels op orde gebracht. Er zijn bijvoorbeeld een verwerkingsregister, verwerkersovereenkomsten en werkprocessen voor de omgang met datalekken ontwikkeld. Maar om werkelijk volwassen te worden op het gebied van dataprotectie zijn er nu nieuwe stappen nodig, aldus Peter van Schelven, IT-jurist bij Bij Peter Wet & Recht en dagvoorzitter van het Dataprotectie & Privacy Congres 2019. “De stap van de papieren werkelijkheid van AVG-compliance naar daadwerkelijke volwassenwording is voor veel organisaties een uitdaging. De guidance vanuit de toezichthouder is hierbij ook belangrijk: we mogen van toezichthouders best een proactieve en praktische ondersteuning verwachten.”

De positie van de toezichthouders
De rollen en acties van toezichthouders zijn tijdens het IIR-congres veelbesproken onderwerpen. Zo belicht Friederike van der Jagt, privacy-advocaat bij Hunter Legal, in haar presentatie onder andere het recent gepubliceerde visiedocument “Dataprotectie in een digitale samenleving 2020-2023” van de Autoriteit Persoonsgegevens (AP). Hierin benoemt de AP drie terreinen waarop het risicogestuurde toezicht zich de komende jaren zal richten: datahandel, digitale overheid, en artificiële intelligentie en algoritmes. In het visiedocument verwoordt de AP overigens ook de ambitie om één van de invloedrijkste privacytoezichthouders van Europa te worden.

De positie van de Nederlandse privacytoezichthouder en zijn Europese zusterorganisaties levert in diverse presentaties panels voer voor discussie. Hoe verhoudt de onafhankelijke positie van de toezichthouder zich tot zijn adviserende taken? Aan welke guidance hebben organisaties nu vooral behoefte?

Drie actuele lessons learnt voor organisaties die duurzaam willen groeien in privacyvolwassenheid:

1) Zoek de guidance voorbij de grenzen
De General Data Protection Regulation (GDPR) beloofde een consistent level playing field te creëren voor gegevensbescherming in de Europese Unie. “Het is daarom belangrijk om als markt de guidance van de verschillende toezichthouders te kunnen lezen en beoordelen. Maar dan stuit je op een heel praktisch probleem: niet alle data protection authorities (DPA’s) publiceren hun documenten in verschillende talen”, signaleert Paul Breitbarth, de Europese directeur van de Canadese softwarespecialist Nymity. “De GDPR verplicht de DPA’s niet om hun uitspraken en voorlichting in het Engels of een andere taal te publiceren.”

De European Data Protection Board (EDPB) stimuleert de nationale toezichthouders wel om jurisprudentie in het Engels aan te leveren voor publicatie op de website. Tot nu toe toont vooral de Franse DPA CNIL zich consequent tweetalig, waardoor de website veel Engelstalige informatie geeft. Daarnaast zijn bij de Britse Information Commissioner’s Office (ICO) praktische handreikingen te vinden, ook al is de guidance niet altijd in lijn met de eerdere opinies van Article 29 Working Group. Verder levert de recente opinie van de European Data Protection Supervisor (EDPS) over het begrip verwerkingsverantwoordelijke onder Richtlijn 2018/1725 bruikbare informatie voor de interpretatie van de AVG.

2) Houd de harmonisatie in het vizier
“De Europese DPA’s geven vaak op nationaal niveau invulling aan codes of conduct en de interpretatie van grondslagen. Maar de EDPS heeft juridisch gezien meer mogelijkheden om strikter te gaan sturen op eenduidige richtlijnen”, stelt Bart van Buitenen, zaakvoerder bij het Belgische privacyadviesbureau White Wire en ervaringsdeskundige van de Belgische toezichthouder de Gegevensbeschermingsautoriteit (GBA). “Zo is het voorzienbaar dat bij de ontwikkeling van privacycertificering, waaraan op dit moment vooral op nationaal niveau wordt gewerkt, sterker wordt ingestoken op een Europese aanpak.” Mogelijk komt er ook een Europees formulier waarmee organisaties datalekken kunnen melden, en worden de boetebeleidsregels van de Europese DPIA’s geharmoniseerd.

Harmonisatie speelt overigens ook een rol in de toekomstige ePrivacy Verordening, die eenduidige regels voor direct marketing op Europees niveau introduceert. Onder het Finse voorzitterschap van de EU belooft het wetgevingsproces van de ePrivacy Verordening vaart te maken. Daardoor zullen Nederlandse DPO’s mogelijk volgend jaar al volop met de voorbereidingen aan de slag gaan.

3) Toezichthouders zoeken de balans tussen wortel en de stok
Met onder andere de website Hulp Bij Privacy, een stappenplan voor gegevensverwerkingen door het MKB en de game Je Telefoon De Baas heeft de AP dit jaar flink geïnvesteerd in voorlichting en ondersteuning. Toch verwachten veel organisaties nóg meer guidance van toezichthouders. “Het vinden van de juiste de balans tussen de wortel en de stok is niet eenvoudig”, zegt Alex Hubbard van de ICO over de verhouding tussen de voorlichtende en toezichthoudende taken van DPA’s. “Ons personeel en onze middelen geven de ICO – die afgelopen jaren is gegroeid van ongeveer 400 naar bijna 800 medewerkers – de mogelijkheid om handhavingsmaatregelen in evenwicht te brengen met beleidsadvies. Wij hechten veel waarde aan stakeholder engagement.” Met de Sandbox is de ICO één van de pioniers van de Europese privacytoezichthouders: met het initiatief ondersteunt de ICO actief de ontwikkeling van innovatieve, privacyvriendelijke producten en diensten.

Wilbert Tomesen, strategisch adviseur bij Considerati en tot voor kort bestuurslid van de AP, benadrukt dat de toezichthouder en DPO uiteindelijk aan dezelfde kant staan. “Onafhankelijkheid betekent niet dat je als DPA niet proactief kunt handelen richting innovatieve producten en diensten. De markt heeft een sterke regulator nodig die guidance geeft én optreedt tegen overtreders. In de ideale wereld zijn DPO’s en DPA’s partners: de DPA kent de wet- en regelgeving en stimuleert passende maatregelen en de DPO kan aangeven wat organisaties nodig hebben om AVG-compliant te zijn.”

Nieuwe puzzels
Het mag duidelijk zijn: bij de groei in privacyvolwassenheid krijgen DPO’s te maken met uiteenlopende uitdagingen en opgaven. De activiteiten en posities van Europese toezichthouders leveren naast extra guidance ook nogal eens nieuwe puzzels op. Bijvoorbeeld als de verschillende uitspraken tegenstrijdig lijken. Maar ook de zoektocht naar de juiste puzzelstukjes past kennelijk bij de groei in privacyvolwassenheid.

Meer weten over de actuele issues in dataprotectie, en met ervaren vakgenoten van gedachten wisselen over de grootste uitdagingen? Check dan de opleidingen, trainingen en events van IIR.