GDPR, AVG, meldplicht datalekken…., de nieuwe Europese wetgeving rondom data en privacy leidt tot veel onrust. Veel organisaties en bedrijven zetten een eindsprint in om alle zaken op tijd in orde te hebben. Juridisch adviseur en manager privacy van ICTRecht, Peter Kager geeft een aantal tips.
‘Er is de laatste tijd veel ophef, maar de AVG bestaat uit 99 artikelen die eigenlijk helemaal niet zoveel verschillen met wetten en regels die al tientallen jaren gelden’, duidt de jurist. Bovendien is er veel overlap tussen de GDPR (General Data Protection Regulation), AVG (Algemene Verordening Gegevensbescherming) in het Nederlands genoemd, en de Wet bescherming persoonsgegevens (WBP). Laatstgenoemde wet geldt sinds 2000 in ons land, maar komt bij de instelling van de GDPR te vervallen.
Kager sprak tijdens de ict-beurzen Infosecurity en Data & Cloud Expo in de Jaarbeurs Utrecht. Tijdens zijn sessie: GDPR Impact en implementatie-maatregelen en een paneldiscussie in een bomvol Computable café bleek dat er nog veel vragen zijn over de nieuwe wet die in mei 2018 ingaat.
Volgens Kager is slechts een fractie van de Nederlandse organisaties klaar voor de nieuwe wet. ‘Ik zie dat veel bedrijven en organisaties tot het laatst hebben gewacht om maatregelen te nemen, als ze dat al hebben gedaan. Eerder zochten wij de markt. Nu komen bedrijven en organisaties naar ons toe.’
Overzicht
1. Registreren en inventariseren
Kager zet tijdens zijn sessie een aantal implementatie-maatregelen neer en gaat in op de impact van de AVG voor organisaties. ‘Een belangrijke eerste stap is het inventariseren en registreren. Leg vast welke data worden vastgelegd’, aldus Kager.
Vragen die voorbij komen zijn:
- Welke (soorten) persoonsgegevens verwerk ik?
- Voor welke doelen verwerk ik de gegevens en welke grondslag hanteer ik daarbij?
- Ben ik zelf verantwoordelijk of hanteer ik in opdracht van een ander?
- Op wat voor soort personen hebben de gegevens betrekking?
- Met welke partijen deel ik de gegevens en waarom?
- Stuur ik de gegevens door naar landen buiten de EU?
- Welke bewaartermijn hanteer ik voor de verschillende gegevens?
- Welke beveiligingsmaatregelen heb ik getroffen om de gegevens te beschermen
2. Maak een uitdraai van de velden in bijvoorbeeld het crm-systeem
Kager vertelt dat er aardig wat tijd in het opstellen van een register gaat zitten, maar deelt ook een aantal simpele trucs: ‘Maak bijvoorbeeld een uitdraai van de velden in het crm-systeem om een overzicht te krijgen van de gegevens die je van personen verzamelt.
Let op dat je achteraf kunt bewijzen dat je dit onderzoek hebt uitgevoerd en naleeft.’
3. Stel altijd een verwerkersovereenkomst op met bewerkers
Kager wijst ook op het belang van een verwerkersovereenkomst. Daarmee maakt de eigenaar en verantwoordelijke van de persoonsgegevens harde afspraken over de omgang met persoonsgegevens.
De wetgever maakt namelijk onderscheid tussen de verantwoordelijke, ook wel ‘controller’ genoemd, en de bewerker ofwel de ‘processor’ van de data. Kager noemt het voorbeeld van een salarisverwerker die in opdracht van een klant beschikt over privacygevoelige data. Daarbij is de klant de verantwoordelijke en de salarisverwerker de bewerker. In een bewerkersovereenkomst afspraken vast over het doel van het gebruik van data en zaken als beveiliging enzovoort.
4. Beoordeel bij een vermoeden van een datalek altijd of een melding bij de Autoriteit Persoonsgegevens noodzakelijk is.
Bij een vermoeden van een datalek moet altijd onderzocht worden of er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens’, verduidelijkt Kager.
5. De tijd dringt, tijd voor actie
Kager adviseert partijen om zich op tijd voor te bereiden om de nieuwe wet. ‘Met zo’n tweehonderd dagen te gaan tot de ingangsdatum dringt de tijd. Het is tijd voor actie.’
Angst voor torenhoge boetes
Volgens Kager is er een flink aantal mythes ontstaan rondom de wetgeving. Bijvoorbeeld over torenhoge boetes. In de wet staat bijvoorbeeld dat boetes tot twintig miljoen kunnen worden opgelegd. Kager legt uit: ‘Dat is alleen in uitzonderlijke situaties. Bovendien wordt er bij het opleggen van een boete rekening gehouden met de financiële draagkracht en omvang van de organisatie. De wet dient eerder als een prikkel voor organisaties om te voldoen aan de gestelde eisen en is niet ingericht om bedrijven failliet te maken.’
Hij behandelt nog zo’n misverstand: ‘Het recht om vergeten te worden, geldt voor iedereen.’ Kager: ‘Voor medische gegevens geldt bijvoorbeeld een bewaarplicht van vijftien jaar. Als een patiënt verzoekt om zijn gegevens te wissen dan moet de zorgverlener dat verzoek weigeren. In dat geval kan diegene dus geen beroep doen op het recht om vergeten te worden.’
Het begrip ‘persoonsgegeven’
De AVG is in veel gevallen een uitgebreidere versie van de wetten en regels die vastliggen in de Wet bescherming persoonsgegevens, die we al een tijd kennen. Om dat te illustreren zet Kager het begrip ‘persoonsgegeven’ neer zoals dat wordt beschreven in de Wbp en in de AVG.
‘Persoonsgegeven’ volgens Wbp
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.’
‘Persoonsgegeven’ volgens AVG
Alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiefactor zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.