De Algemene verordening gegevensbescherming (AVG of GDPR) is een hot topic. Mede door de snelle digitalisering voldoet de huidige privacywetgeving niet meer. De nieuwe verordening wordt op 25 mei van toepassing. Het doel is met name het verzekeren van (een nog betere) bescherming van persoonsgegevens en het waarborgen van het vrije verkeer van persoonsgegevens binnen de Europese Unie.

De AVG legt rechtstreeks verplichtingen op aan degenen die persoonsgegevens verwerken, de verwerkingsverantwoordelijken, en kent direct rechten toe aan natuurlijke personen waar de persoonsgegevens betrekking op hebben, de betrokkenen.

De deadline om te voldoen aan de AVG nadert snel, maar zijn bedrijven wel voldoende op de hoogte? Tijd om fabels van feiten te onderscheiden.

Fabel: Bedrijven zijn klaar voor de AVG als het privacybeleid op 25 mei op papier in orde is

Uiteindelijk valt of staat een goed privacybeleid door gedrag binnen de organisatie. Wanneer organisaties AVG compliant willen zijn, is een uitgeschreven privacybeleid niet voldoende. Privacy moet integraal onderdeel zijn van de bedrijfscultuur, waarbij alle medewerkers op de juiste manier het privacybeleid toepassen en uitdragen. Het op tijd briefen van medewerkers en het creëren van bewustzijn is daarbij van belang.

Zoals veel ISO27001-gecertificeerde bedrijven hanteert HSO het ‘Information Security Management System’ (ISMS) van ISO27001. Hierin krijgt de informatiebeveiliging binnen de organisatie concreet vorm. Door hierin privacy als asset op te nemen, zorg je voor een goede implementatie, zodat dit onderhouden en geprofessionaliseerd kan worden. Binnen het ISMS organiseert het bedrijf bijvoorbeeld awareness sessies voor collega’s of worden medewerkers die privacy hoog in het vaandel hebben staan in het zonnetje gezet.

Feit: De AVG is een doorlopend proces

Privacy is geen onderwerp dat 25 mei even afgevinkt kan worden. Ook na deze datum heeft dit aandacht nodig. Bijna iedere ontwikkeling ten aanzien van de bedrijfsvoering moet getoetst worden aan de AVG, bijvoorbeeld bij het uitbrengen van een nieuw product of nieuwe dienst (privacy by design). Het is daarbij belangrijk om te beoordelen of data wel verwerkt wordt conform de AVG. Denk bijvoorbeeld aan de verwerkingsgrondslag en de naleving van de informatieverplichting ten aanzien van de betrokkenen.

Het is dus belangrijk dat je altijd, zowel in- als extern, op de hoogte bent wie de eigenaar is van de data, wie de data verwerkt en waar deze verwerking en opslag plaatsvindt. Daarnaast is het belangrijk dat dit op papier staat in een verwerkersovereenkomst. Blijf dus continu alert zodat uiteindelijk positieve resultaten worden gerealiseerd voor zowel de eigen organisatie als de klanten.

Feit: Het naleven van de AVG is een team effort

Wanneer privacy integraal onderdeel is van de bedrijfscultuur, is het ook gemakkelijker voor medewerkers om zich hieraan te houden. Bedrijven kunnen nog zo’n mooi privacybeleid schrijven, maar als medewerkers zich hier niet aan houden loopt de organisatie alsnog het risico dat er data op straat komt te liggen. Sommige organisaties zijn daarnaast verplicht om een Functionaris Gegevensbescherming aan te stellen. Hij of zij houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG.

Bij HSO beschikken we over een security task force met collega’s uit alle lagen en afdelingen van de organisatie. Goed omgaan met data is immers niet iets wat alleen bij de Data Protection Officer of Security Officer ligt. Naleving van de AVG is een gezamenlijke verantwoordelijkheid die binnen de gehele organisatie gedragen moet worden. Bij ieder team ligt immers een verantwoordelijkheid voor gegevens, of het nu IT, Customer Support of HR is.

Fabel: De AVG-ontwikkelingen zijn nieuw en kosten om die reden veel tijd

Veel regels uit de AVG golden de afgelopen jaren ook al onder de Wet bescherming persoonsgegevens (Wbp). Als bedrijven deze wetgeving de afgelopen jaren goed hebben opgepakt, dan is de AVG in de meeste gevallen een kwestie van de puntjes op de i zetten. In 2016 diende zich een tweede kans aan om bedrijven wakker te schudden met de komst van de Meldplicht Datalekken. Het onderwerp privacy begon toen al bij veel organisaties te leven. Velen moeten echter nog een inhaalslag maken.

Zelfs wanneer een organisatie wel al volledig compliant was met de Wbp en de Meldplicht Datalekken is er nog veel werk aan de winkel. Daarbij is transparantie het kernwoord. Organisaties moet op alle momenten kunnen laten zien wat er wordt gedaan met data (accountability). Denk als organisatie aan wanneer er voor het laatst een wijziging is doorgevoerd, waar de data staat, waarom die eigenlijk opgeslagen wordt en hoe lang hij bewaard blijft. Dat is ook nodig in verband met het ‘recht om vergeten te worden’. Daarnaast is er nog een heel praktische impact: zeker in de B2B IT-sector moeten veel contracten worden uitgebreid of aangepast. Klanten willen zwart op wit dat hun leverancier goed met de data omgaat.

Feit én fabel: Niet naleven van de AVG resulteert in hoge boetes

De financiële gevolgen van het niet naleven van de AVG kunnen groot zijn. Toch zal in de praktijk moeten blijken hoeveel boetes er daadwerkelijk uitgedeeld worden en hoe de Autoriteit Persoonsgegevens (AP) zal handhaven. De AP kan namelijk ook een last onder dwangsom opleggen. Dat betekent dat de dwangsom alleen wordt gehandhaafd wanneer organisaties niet alsnog verbeteringen doorvoeren. De Autoriteit Persoonsgegevens heeft aangegeven zich vooral te richten op hulp bij naleving van de AVG.

Daarbij geldt een gouden regel: zorg in ieder geval dat de organisatie kan laten zien dat ze er mee bezig zijn en de belangrijkste policies op papier hebt staan.

Naar verwachting zal de AP niet meteen boetes gaan opleggen en eigenlijk handhaven zoals onder de Wbp. Wel bestaat de kans op testcases voor organisaties die onvoldoende vooruitgang boeken. Met name organisaties die veel persoonsgegevens verwerken zoals zorginstellingen, grote webwinkels, woningcorporaties en onderwijsinstellingen lopen het risico als eerste op de radar van de AP te komen.

Dat is ook in de praktijk al zichtbaar. Sommige subverwerkers (die veelal via een eenmanszaak of als DGA van hun BV opereren) willen hun scope met betrekking tot het verwerken van privacygevoelige data beperken uit angst voor aansprakelijkheid.

Er is voor veel bedrijven dus nog genoeg werk te verrichten. Privacy is een belangrijk onderwerp en moet integraal onderdeel worden van de bedrijfscultuur. Toch bestaan er nog genoeg fabels rondom dit onderwerp, omdat de regels misschien (nog) niet duidelijk genoeg zijn en nog veel vragen oproepen. Het is dus zaak dat bedrijven zich goed inlezen en laten adviseren over de AVG, zodat de nieuwe verordening op een juiste manier wordt geïmplementeerd binnen de organisatie.

Door ©Reny Stark, advocaat IE, ICT en privacy bij Van Veen Advocaten en Remon Zeller, information security officer bij IT-bedrijf HSO

Lees hier het originele artikel op IT-Executive