In het Nederlandse bedrijfsleven is de Algemene verordening gegevensbescherming (“AVG”) een hot topic. Mede door de snelle digitalisering voldoet de huidige privacywetgeving niet meer. Deze nieuwe verordening wordt op 25 mei aanstaande van toepassing. Het doel van de verordening is met name het verzekeren van (een nog betere) bescherming van persoonsgegevens en het waarborgen van het vrije verkeer van persoonsgegevens binnen de Europese Unie. De AVG legt rechtstreeks verplichtingen op aan degenen die persoonsgegevens verwerken, de verwerkingsverantwoordelijken, en kent direct rechten toe aan natuurlijke personen waar de persoonsgegevens betrekking op hebben, de betrokkenen.

De deadline om te voldoen aan de AVG nadert snel, maar zijn bedrijven wel voldoende op de hoogte? Tijd om fabels van feiten te onderscheiden met Reny Stark, advocaat IE, ICT en privacy bij Van Veen Advocaten en Remon Zeller, Information Security Officer bij IT-bedrijf HSO.

Stelling 1: Bedrijven zijn klaar voor de AVG als het privacybeleid 25 mei aanstaande op papier in orde is

FABEL.

Reny Stark vertelt: “Uiteindelijk valt of staat een goed privacybeleid door gedrag binnen de organisatie. Wanneer organisaties AVG compliant willen zijn is een uitgeschreven privacybeleid niet voldoende. Privacy moet integraal onderdeel zijn van de bedrijfscultuur, waarbij alle medewerkers op de juiste manier het privacybeleid toepassen en uitdragen. Het op tijd briefen van medewerkers en het creëren van bewustzijn is daarbij van belang.”

Remon Zeller sluit zich daar bij aan: “Zoals veel ISO27001-gecertificeerde bedrijven hanteert HSO het ‘Information Security Management System’ (“ISMS) van ISO27001. Hierin krijgt de informatiebeveiliging binnen de organisatie concreet vorm. Door hierin privacy als asset op te nemen zorgen we bij HSO voor een goede implementatie, kunnen we dit onderhouden en professionaliseren. Binnen het ISMS organiseren we bijvoorbeeld awareness sessies voor collega’s of zetten we medewerkers in het zonnetje die privacy hoog in het vaandel hebben staan.”

Stelling 2: De AVG is een doorlopend proces

FEIT.

“Privacy is niet een onderwerp dat 25 mei ‘even afgevinkt’ kan worden,” aldus Reny. “Ook na deze datum heeft dit aandacht nodig. Bijna iedere ontwikkeling ten aanzien van de bedrijfsvoering moet getoetst worden aan de AVG, bijvoorbeeld bij het uitbrengen van een nieuw product of nieuwe dienst (“privacy by design”). Het is daarbij belangrijk om te beoordelen of data wel verwerkt wordt conform de AVG. Denk bijvoorbeeld aan de verwerkingsgrondslag en de naleving van de informatieverplichting ten aanzien van de betrokkenen.”

“Het is dus belangrijk dat je altijd, zowel in- als extern, op de hoogte bent wie de eigenaar is van de data, wie de data verwerkt en waar deze verwerking en opslag plaatsvindt. Daarnaast is het belangrijk dat je dit op papier hebt staan in een verwerkersovereenkomst. Blijf dus continu alert zodat je uiteindelijk positieve resultaten realiseert voor zowel je eigen organisatie als je klanten,” voegt Remon toe.

Stelling 3: Het naleven van de AVG is een team effort

FEIT.

Reny is het hier geheel mee eens: “Wanneer privacy integraal onderdeel is van de bedrijfscultuur is het ook gemakkelijker voor medewerkers om zich hieraan te houden. Je kunt nog zo’n mooi privacybeleid schrijven, maar als medewerkers zich hier niet aan houden loop je alsnog het risico dat er data op straat komt te liggen. Sommige organisaties zijn daarnaast verplicht om een Functionaris Gegevensbescherming aan te stellen. Hij of zij houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG.”

Remon legt uit hoe dit bij HSO in zijn werk gaat: “Wij beschikken over een security task force met collega’s uit alle lagen en afdelingen van de organisatie. Goed omgaan met data is immers niet iets wat alleen bij de Data Protection Officer of Security Officer ligt. Naleving van de AVG is een gezamenlijke verantwoordelijkheid die binnen de gehele organisatie gedragen moet worden. Bij ieder team ligt immers een verantwoordelijkheid voor gegevens, of het nu IT, Customer Support of HR is.”

Stelling 4: De AVG ontwikkelingen zijn nieuw en kosten om die reden veel tijd

FABEL.

“Veel regels uit de AVG golden de afgelopen jaren ook al onder de Wet bescherming persoonsgegevens (Wbp). Als bedrijven deze wetgeving de afgelopen jaren goed hebben opgepakt, dan is de AVG in de meeste gevallen een kwestie van de puntjes op de i zetten. In 2016 diende zich een tweede kans aan om bedrijven wakker te schudden met de komst van de Meldplicht Datalekken. Het onderwerp privacy begon toen al bij veel organisaties te leven. Echter dienen nog velen een inhaalslag te maken,” signaleert Reny.

Ook Remon ziet nog genoeg uitdagingen: “Zelfs wanneer je wel al volledig compliant was met de Wbp en de Meldplicht Datalekken is er nog veel werk aan de winkel. Daarbij is transparantie het kernwoord. Je moet op alle momenten kunnen laten zien wat je doet met data (“accountability”). Denk aan wanneer je voor het laatst een wijziging hebt doorgevoerd, waar je data staat, waarom je die eigenlijk opslaat en hoe lang je die opslaat. Dat is ook nodig in verband met het ‘recht om vergeten te worden’. Daarnaast is er nog een hele praktische impact: zeker in de B2B IT-sector moeten veel contracten worden uitgebreid of aangepast. Klanten willen zwart op wit dat hun leverancier goed met de data omgaat.”

Stelling 5: Niet naleven van de AVG resulteert in hoge boetes

FEIT & FABEL.

“De financiële gevolgen van het niet naleven van de AVG kunnen groot zijn. Toch zal in de praktijk moeten blijken hoeveel boetes er daadwerkelijk uitgedeeld worden en hoe de Autoriteit Persoonsgegevens (“AP”) zal handhaven,” nuanceert Reny. “De AP kan namelijk ook een last onder dwangsom opleggen. Dat betekent dat de dwangsom alleen wordt gehandhaafd wanneer organisaties niet alsnog verbeteringen doorvoeren. De Autoriteit Persoonsgegevens heeft aangegeven zich vooral te richten op hulp bij naleving van de AVG.”

Remon voegt daar aan toe: “Daarbij geldt een gouden regel: zorg in ieder geval dat je kunt laten zien dat je er mee bezig bent en de belangrijkste policies op papier hebt staan.”

“Naar verwachting zal de AP niet meteen boetes gaan opleggen en eigenlijk handhaven zoals onder de Wbp. Wel bestaat de kans op ‘testcases’ voor organisaties die onvoldoende vooruitgang boeken. Met name organisaties die veel persoonsgegevens verwerken zoals zorginstellingen, grote webwinkels, woningcorporaties en onderwijsinstellingen lopen het risico als eerste op de rader van de AP te komen,” vertelt Reny.

Dat merk je nu al in de praktijk, beaamt Remon: “In de praktijk zien we bij HSO al wel dat sommige van onze subverwerkers (die veelal via een eenmanszaak of als DGA van hun BV opereren) hun scope met betrekking tot het verwerken van privacygevoelige data willen beperken uit angst voor aansprakelijkheid.”

Er is voor veel bedrijven dus nog genoeg werk te verrichten. Privacy is een belangrijk onderwerp en moet integraal onderdeel worden van de bedrijfscultuur. Toch bestaan er nog genoeg fabels rondom dit onderwerp, omdat de regels misschien (nog) niet duidelijk genoeg zijn en nog veel vragen oproepen. Het is dus zaak dat bedrijven zich goed inlezen en laten adviseren over de AVG, zodat de nieuwe verordening op een juiste manier wordt geïmplementeerd binnen de organisatie.