De AVG komt eraan: accountability is het toverwoord

De AVG komt eraan: accountability is het toverwoord

Redactie Baaz
25 mei 2018 is een belangrijke datum voor iedere organisatie die persoonsgegevens opslaat en verwerkt. En welke organisatie doet dat niet? Vanaf die dag gaat de Autoriteit Persoonsgegevens de nieuwe ‘privacywet’ handhaven, een Europese verordening die in Nederland bekendstaat als de Algemene Verordening Gegevensbescherming.

​Het is echt de hoogste tijd om aan de slag te gaan met de AVG. Want al zijn de inhoudelijke verschillen met de bestaande Wet bescherming persoonsgegevens (Wbp) niet eens zo groot, één ding is wel nieuw: je moet als organisatie tot in detail kunnen laten zien dat je aan de regels voldoet

Dat de AVG echt op de agenda moet staan, komt vooral door het feit dat de sancties bij overtreding substantieel zijn. Boetes kunnen oplopen tot 20 miljoen euro of – als dat bedrag niet hoog genoeg wordt geacht – 4 procent van de wereldwijde jaaromzet. Bovendien word je niet alleen beboet voor niet-naleving van de privacybeginselen in de AVG. Ook als je beleid onvoldoende is gedocumenteerd, kunnen er sancties volgen. De maximale boetes zijn dan nog altijd de helft van de bovengenoemde getallen.

AVG-implementatie kostbare en tijdrovende opgave

Dat maakt van de AVG-implementatie in menig organisatie een kostbare en tijdrovende opgave. Want in de meeste gevallen hebben organisaties in het verleden onvoldoende gedaan om de regels uit de Wbp correct te implementeren. Niet zo gek, want er stonden nauwelijks sancties tegenover. Ook waren consumenten slecht geïnformeerd over hun rechten. Organisaties hoefden daardoor nauwelijks te voldoen aan verzoeken van consumenten om hun gegevens in te zien.

Ook hebben ze inmiddels wel wat meer te borgen dan alleen naam, adres en geboortedatum. Door de ‘big data’-explosie van de laatste jaren is de hoeveelheid, maar ook het gebruik van persoonsgegevens exponentieel toegenomen. Steeds vaker zijn ze de inzet voor het maken van gedetailleerde klantprofielen. Zodra gegevens als klantnummers, IP-adressen of GPS-coördinaten herleidbaar zijn tot een individu, worden ook deze gegevens beschouwd als persoonsgegevens. Plotseling is dan de AVG van toepassing.

Het verschil met de bestaande Wet bescherming persoonsgegevens is dat je elk gebruik van deze gegevens tot in detail moet documenteren. Kortom, je moet kunnen laten zien wat je met de gegevens doet en met welke geldige grondslag je dat doet. Accountability is het toverwoord van de AVG.

Persoonsgegevens

Verzamelt je organisatie op grootschalige wijze persoonsgegevens? Dan is het ook mogelijk dat je de privacygevoelige processen verplicht moet onderwerpen aan een zogenaamd privacy impact assessment, bijvoorbeeld bij de ontwikkeling van een product of dienst. Een belangrijk beginsel hierbij is dat het gebruik van persoonsgegevens zo veel mogelijk moet worden beperkt. Daarnaast moet je wellicht een speciale functionaris voor privacybescherming aanstellen.

Het privacybeleid dat organisaties ontwikkelen, moet in de kaders van de AVG passen. Maar voor de adequate organisatorische en technische beschermingsmaatregelen die ze dienen te implementeren, zijn in de AVG open normen vastgelegd. Logisch ook, want wat ‘adequaat’ is, is voor elke organisatie anders. In de praktijk zal het elke keer neerkomen op een afweging van het voordeel van het gebruik van bepaalde persoonsgegevens tegen de kosten en tijd die gemoeid gaan met de implementatie van privacymaatregelen. 

Stappenplan

Hoe ziet een stappenplan voor een AVG-implementatie eruit? Als je nog niet bent begonnen, is de eerste stap in detail het huidige gebruik van persoonsgegevens onder de loep nemen. Op grond daarvan kun je een gap analysis maken. Vervolgens identificeer je welke wijzigingen er noodzakelijk zijn. In veel gevallen zul je IT-systemen moeten aanpassen, soms ook bedrijfsprocessen. Ook voorlichting is van belang: zijn de senior stakeholders en werknemers die met persoonsgegevens werken voldoende op de hoogte van de AVG? En heb je een beleid in geval van datalekken?

Dat in 2018 alle organisaties AVG-compliant zijn, is een illusie. Maar je moet tegen die tijd wel kunnen bewijzen dat je een privacybeleid hebt ontwikkeld én actief werken aan volledige implementatie binnen de gehele organisatie. Ben je nog niet helemaal klaar? Dan moet je aan de hand van een duidelijke roadmap kunnen aantonen welke structurele wijzigingen je nog gaat doorvoeren.
 

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie