Er heerst een ware compliance-koorts in Nederland. Sinds bekend is dat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) vanaf 25 mei 2018 van toepassing is nemen de zorgen binnen organisaties, groot en klein, langzaam maar zeker toe. Hoe kunnen zij ervoor zorgen dat zij straks aan de wet voldoen?
In de media lezen organisaties dagelijks over de torenhoge boetes die de Autoriteit Persoonsgegevens vanaf volgend jaar kan opleggen voor overtredingen van de AVG. We kennen ze inmiddels: tot tien miljoen euro of 2 procent van de wereldwijde jaaromzet dan wel (afhankelijk van het soort overtreding) twintig miljoen euro of 4 procent van de wereldwijde jaaromzet.
In onze data-gedreven economie neemt de stress over de implementatie van deze nieuwe wet door deze getallen toe. Ook begint er een hele nieuwe economie te bloeien van privacy-adviesbureaus, opleiders van data protection officers (dpo’s) en software voor privacy management.
Wat is wijsheid voor organisaties in deze jungle van regelgeving, experts en tools? En is de stress over hoge boetes wel terecht?
De ene organisatie is de andere niet
Vooropgesteld: er zijn inderdaad organisaties die een grote compliance-uitdaging hebben. Dit geldt voor de grotere organisaties (denk 250+ medewerkers), organisaties met ingewikkelde datastromen en -koppelingen en bedrijven die profielen aanmaken of op grote schaal medische of andere gevoelige gegevens verwerken. Zij doen er goed aan (en zijn soms verplicht) een al dan niet externe dpo in te schakelen en een projectmanager om hun compliance in goede banen te leiden.
Al die andere organisaties, wiens datastromen en applicaties eigenlijk best overzichtelijk zijn en die geen gegevens met een hoog privacy risico verwerken, kunnen met een beperkt aantal aanpassingen in hun processen en documentatie een heel eind komen. Zeker als zij nu al voldoen aan de Wet bescherming persoonsgegevens, waar de AVG voor een groot deel op voortborduurt.
Belangrijke vraag: verantwoordelijke of verwerker?
Waar moeten zij op focussen? Allereerst is van belang dat zij vaststellen of ze volgens de wet een ‘verantwoordelijke’ of ‘verwerker. (nu nog ‘bewerker; genoemd) zijn. Van deze vaststelling hangt namelijk af welke verplichtingen zij hebben.
De verantwoordelijke is de organisatie die het doel en de middelen van de verwerking bepaalt en de zeggenschap daarover uitoefent. Voor scholen, ziekenhuizen, werkgevers en webshops is het duidelijk dat zij verantwoordelijke zijn als ze gegevens van hun scholieren, patiënten, werknemers en klanten verwerken. Ze bepalen immers niet alleen het doel van het verwerken maar ook hoe ze dat doen, met welke software en opslagmethodes.
De verwerker is het bedrijf dat de verwerking uitvoert voor de verantwoordelijke. Ook hiervoor geldt dat het vaak duidelijk is wie dat is. De softwareleveranciers en hostingproviders die worden ingeschakeld om voor de verantwoordelijke partijen hun werknemers-, leden-, klant- en patiëntadministratie uit te voeren zijn over het algemeen verwerkers.
Maar soms is het niet helemaal duidelijk welke rol een organisatie heeft. Voor een verwerking kunnen meerdere partijen samen verantwoordelijk zijn en een it-dienstverlener die ogenschijnlijk verwerker is kan toch zoveel invloed uitoefenen op de verwerking dat hij voor de wet als een verantwoordelijke geldt. It-dienstverleners kunnen zelfs van geval tot geval ‘van kleur verschieten’. Bijvoorbeeld als zij dan weer eens rechtstreeks met klanten contracteren en dan weer eens via resellers.
Verwerkers en hun nieuwe aansprakelijkheden
De rol die jouw organisatie heeft is belangrijk omdat er vooral voor verwerkers veel verandert onder de AVG. Het begint er al mee dat zij niet door hun potentiële opdrachtgevers geselecteerd mogen worden als zij niet aan de wet voldoen. Op zich geen nieuws, maar de AVG zorgt er voor dat opdrachtgevers hier strenger op gaan selecteren.
Daarnaast zijn verwerkers straks voor het eerst rechtstreeks aan wettelijke verplichtingen gebonden en rechtstreeks aansprakelijk ten opzichte van de personen wiens gegevens zij verwerken. Deze personen noemt de wet de ‘betrokkenen’. De verwerkers hoeven om aansprakelijk te zijn dus geen contractuele relatie met die betrokkenen te hebben. Het is dan ook van belang dat IT-leveranciers nog eens kritisch kijken naar de contracten met hun opdrachtgevers en leveranciers. Misschien worden bepaalde schadeposten daarin ten onrechte op hen afgewenteld of vinden ze zelf dat een schadepost bij een ander partij hoort te liggen.
Verwerkers hebben nog meer aandachtspunten in het kader van de voorbereiding op de AVG. Als zij leveranciers van verwerkingssoftware zijn, zullen hun opdrachtgevers hen gaan vragen naar de ‘privacy-vriendelijkheid’ van het design daarvan. Als dit beter kan, moeten ontwikkelaars daarmee aan de slag. De kernverplichting van verwerkers, beveiliging, moet een doorlopend aandachtspunt voor verwerkers zijn. Onder de AVG moet die beveiliging bovendien specifiek zijn: rekening houdend met de aard van de gegevens en de daarmee samenhangende risico’s. Op dit punt moeten verwerkers niet alleen naar hun eigen maatregelen kijken maar ook hun toeleveranciers, de zogenaamde ‘subverwerkers’, kritisch bevragen.
Ook is het voor verwerkers raadzaam om met hun verzekeringsmakelaar om de tafel te gaan. Schade wegens datalekken die zij niet contractueel kunnen afwentelen zal immers wel gedragen moeten worden. Het is de vraag of hun huidige verzekeringen daarvoor dekking bieden.
De verantwoordelijke
Zoals gezegd: de verantwoordelijke partij die veel verwerkingen uitvoert of die bijvoorbeeld internationaal actief is, heeft een uitdaging als het op compliance met de AVG aankomt. Deze partijen beschikken echter vaak al over interne security-afdelingen en juristen om het compliance traject goed op te zetten en uit te voeren.
Maar wat is wijsheid voor al die sportverenigingen, scholen, accountants en andere kleinere verantwoordelijken die wat meer gangbare en overzichtelijke verwerkingen doen?
Aan de hand van een scan van hun activiteiten en de persoonsgegevens die daarbij verwerkt worden zal al vrij snel duidelijk worden waar zij de focus moeten leggen. Het kan bijvoorbeeld nodig zijn om hun processen bij te stellen als zij gegevens van minderjarigen verwerken of voor een verwerking toestemming van de individuen nodig hebben.
Daarnaast moeten zij vooral hun it-leveranciers kritisch onder loep nemen. Zoals ik hiervoor aangaf mogen zij alleen it-leveranciers selecteren die ‘AVG-proof’ zijn. Zij zouden de leverancier van hun noftware kunnen vragen hoe ze het eerdergenoemde ‘privacy by desig’-principe toepassen. En ze zouden hen kunnen vragen naar een nieuwe verwerkersovereenkomst die voldoet aan de wet.
Op individuele basis ontbreekt het kleinere organisaties echter vaak aan kennis, tijd en middelen om dit goed aan te pakken. Maar brancheverenigingen, overkoepelende besturen, sportbonden enzovoorts kunnen hun leden hier in faciliteren en doen dit vaak ook.
Als verantwoordelijken de compliance ‘aan de achterkant’ goed geregeld hebben kunnen zij hun manier van werken veel gemakkelijker uitleggen aan de betrokkenen. Want dat vraagt de AVG vooral van verantwoordelijken: leg aan de toezichthouder èn betrokkenen uit hoe je met hun gegevens omgaat, hoe betrokkenen daar invloed op kunnen uitoefenen en wat dat eventueel voor gevolgen heeft. Een goede en begrijpelijke privacyverklaring speelt daarin een belangrijke rol.
Boetes
En die torenhoge boetes? Tot nu houdt de Autoriteit Persoonsgegevens het in het geval van wetsovertredingen bij het opleggen van herstelmaatregelen met als stok achter de deur een dwangsom. Die mogelijkheid wordt niet genoemd in de AVG maar wel in de uitvoeringswet die in Nederland in aanvulling op de AVG gaat gelden. In een toelichting op het ontwerp van die wet heeft de wetgever al aangegeven dat deze herstelmaatregelen in de praktijk een ‘effectief middel’ zijn gebleken om op te treden tegen overtredingen. Er is een goede kans dat de Autoriteit Persoonsgegevens ook in de toekomst vooral naar dit middel zal grijpen, opzettelijke en grove wetsovertredingen daargelaten.
Boetes of niet, je wilt niet dat jouw organisatie bekend wordt als een partij die zijn zaakjes niet op orde heeft. Sterker nog, compliance kan een middel zijn om je reputatie te versterken en onderscheidend te zijn ten opzichte van de concurrent. Ook die ontwikkeling is terug te zien en te lezen in de media.
Pragmatisme
Is compliance met de AVG dan een piece of cake? Nee, de realiteit van IT producten en diensten blijkt altijd weer complexer dan de wetgever kan voorzien. De verwachting is wel dat compliance in de toekomst gemakkelijker zal worden.
Standaardisatie van processen en beveiliging die AVG proof zijn liggen namelijk in het verschiet. Een commissie die op Europees niveau invulling zal geven aan de AVG door technische standaarden voor gegevensbescherming en privacy te ontwikkelen wordt opgericht. De AVG biedt de mogelijkheid voor gedragscodes en certificeringsmechanismes. Het ziet er naar uit dat in de toekomst geaccrediteerde auditors verwerkers die aan de standaarden voldoen voorzien van een certificaat van goedkeuring. Zo ver is het echter nog niet. Vooralsnog moeten verantwoordelijken en verwerkers de wet zelf interpreteren en compliance monitoren. Samenwerking tussen personeel en (externe) IT specialisten en juristen is daarvoor essentieel.
Wel kan een pragmatische blik op wat de AVG eigenlijk verlangt van uw organisatie helpen om deze behapbaar te maken. Met een beperkt aantal aanpassingen in uw processen en documentatie kan compliance dan soms toch snel binnen handbereik liggen.
De verordening is nog niet eens ingegaan en men begint al te “polderen”. En de juristen denken dat het een kwestie is van een paar regels en een register.
Eén groot misverstand. Je moet namelijk nu al voldoen aan de privacybescherming (Grondwet art. 10 en de sinds 2001 de Wbp-2001.
Het gaat de wetgevers en Toezichthouder, niet om het compliant zijn, maar wel om het veilig zijn!
• Dus het beschermen van de persoonsgegevens van onze klanten, patiënten, eigen medewerkers, relaties, leden en potentiële klanten (de prospect).
• En om het zelf ongestoord kunnen werken (dus niet toegankelijk zijn voor de criminele kapers) en de zekerheid dat de gegevens correct en integer zijn.
• Privacy by design is een verplichting. Vanaf volgend jaar verplicht een onderdeel van de bedrijfsvoering (en de marketing)
Dus net als bij de veiligheid van auto’s en vliegtuigen geen sinecure
Elke kort door de bocht actie is in feite misleiding, jezelf in slaap sussen en mogelijk zelfs onethisch!
Het gaat namelijk niet om het beschermen van je eigen belangen, maar om die van derden.
En ik vraag mij af: is het een goede zaak aan te bevelen dit pragmatisch te doen? Wie is daarbij dan de partner van de ondernemer c.q. de bestuurder? De jurist, de ICTer, ..???
N.B. Ik ben benieuwd of o.a. het UWV, met hun plan van het (om)scholen van de Functionarissen GegevensBESCHERMING, zich bewust zijn van het feit dat het BESCHERMEN en het toezien (art 5 1F) daarop een belangrijk onderdeel van hun rol is. Knap lastig voor een jurist of een instromer!
Beste Norman,
Gelukkig zijn veel organisaties wel degelijk intrinsiek gemotiveerd om de persoonsgegevens die zij beheren daadwerkelijk te beschermen. De AVG is voor hen een stok achter de deur. Een grotere stok dan de Wbp. Organisaties weten alleen vaak niet hoe ze de wet moeten implementeren. Daar helpen wij bij. Uiteraard in samenwerking met IT-beveiligingsexperts.
Marjolijn.
Ik tracht de lezer die (nog) NIET gemotiveerd is wakker te schudden.
Privacy omvat minimaal 4 componenten: ethisch, juridisch, technisch en organisatorisch.
Een jurist, in samenwerking met een ICT beveiigingsexpert, mist vaak diverse competenties om een organisatie In Control te brengen en de continuíteit van de bedrijfsvoering te waarborgen.
Vandaar mijn kritische kanttekening dat pragmatisme niet op zijn plaats is!