30 augustus 2017

De Avg: gewoon serious business

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, HELPDESK JURIDISCH

De zomervakantie is voorbij en de werkelijkheid begint weer tot iedereen door te dringen: de deadline van 25 mei 2018 voor implementatie van de nieuwe Europese privacy-verordening (GDPR of in het Nederlands Avg) komt nu toch echt dichtbij. En dus verschijnen links en rechts paniekberichten dat bedrijven te weinig tijd hebben, hoge kosten moeten maken voor externe adviseurs en het allemaal te moeilijk vinden. Ik begrijp het. Die privacy-wetgeving is ook ingewikkeld, zeker niet perfect en de digitalisering gaat zo snel dat het laten mee-ontwikkelen van privacy-beleid tijd en moeite kost. Maar laten we het ook niet overdrijven.

Privacy-wetgeving is niet nieuw

De eerste privacy-wet in Nederland trad in 1989 in werking. De eerste Europese richtlijn stamt uit 1995. De basisprincipes uit die wetgeving vormen nog steeds de kern van de nieuwe Avg. Data-minimalisatie, right-to-be forgotten, informatieplichten en bewerkersovereenkomsten stonden altijd al in de wet, zij het soms onder andere namen. Voor bedrijven die gewoon netjes al 20 jaar aan de wet voldoen, en zijn meegegroeid met de veranderingen in die periode, gaat er in de basis niet eens zo veel veranderen.

Privacy Enhancing Technologies

Neem nu het principe van ‘privacy by design’ uit de Avg. Dit principe houdt in dat je al bij de inrichting van datastromen rekening moet houden met privacy. De term is nieuw, het principe niet. In de jaren ’90 werd de term Privacy Enhancing Technologies (PET) gebruikt. De term is voor het eerst op de kaart gezet door John Borking (oud-directeur van Nederland ICT) in 1995 bij de presentatie van een paper aan de Europese commissie: “Privacy Enhancing Technologies: the path to anonymity”.

Fundamenteel recht

Laten we ook niet vergeten dat privacy een belangrijk goed is. Het recht op privacy is één van de fundamenten van onze rechtstaat. Burgers hebben het recht om met rust gelaten te worden. Naarmate bedrijven en overheden meer gegevens van burgers zijn gaan verzamelen, zijn er regels bedacht om dit recht te beschermen. Dat is voor sommige bedrijven niet leuk. Ze worden daardoor immers beperkt in het gebruik dat ze van klantgegevens kunnen maken. Maar dit geldt wel voor meer regels. Veel bedrijven worden ook niet blij van milieuregels, het minimumloon, ontslagbescherming of consumentenbescherming.

Level playing field

Toch hebben we er met zijn allen in deze democratische rechtstaat voor gekozen dat die regels nodig zijn om een level playing field met elkaar te creëren. Geen van die regels is perfect, het is altijd een compromis, en afhankelijk van de positie waarin je verkeert, heb je er nadeel of juist voordeel van. De nieuwe regelgeving biedt een voorlopige basis om nieuwe morele en ethische vragen van deze tijd te lijf te gaan. Het helpt daarbij om eens te kijken wat er nu eigenlijk in de regels staat, in plaats van nu plots heel veel te roepen en angst te zaaien.

Privacy = serious business

Natuurlijk zijn er ook nieuwe elementen in de Avg, zoals de mogelijkheid voor toezichthouders om enorme boetes op te leggen. Na jaren snuffelen aan privacy-wetgeving wordt het nu dus menens. Ook zijn veel bestaande regels flink aangescherpt. Bedrijven kunnen vanaf volgend jaar voor het eerst echt worden ‘afgerekend’ op slecht privacy-beleid. Dat raakt de boardroom. En dat veroorzaakt paniek. Vooral bij de bedrijven die, bij gebrek aan boetes, de hele privacy-wetgeving niet zo serieus namen. Die bedrijven hebben een inhaalslag van 20 jaar te maken. Dan is er werk aan de winkel.

Je boekhouding op orde

Wat kunnen (achterlopende) bedrijven het beste doen? Die moeten zelf aan de slag. Privacy implementeren in een organisatie is een compliance-vraagstuk. Compliance kun je niet uitbesteden en je kunt het ook niet aan één persoon of afdeling overlaten. Het is een onderdeel van de hele organisatie, net als het voldoen aan financiële wetgeving, fraudebestrijding of milieunormen, waarbij iedereen op zijn eigen afdeling en niveau zich er rekenschap van moet geven.

Soms zal daarvoor extern advies nodig zijn. Adviseurs met ervaring kunnen bedrijven helpen om sneller hun privacy-boekhouding op orde te krijgen. Maar er is heel veel dat bedrijven zelf kunnen doen, als ze gebruik maken van de tools die meer en meer overal ter beschikking komen.

Aan de slag

Nederland ICT is dit jaar bijvoorbeeld begonnen met een serie over de Avg. Iedere maand wordt een onderdeel van de Avg toegelicht en krijgen leden via MijnNederlandICT een tool erbij die helpt bij de implementatie (zoals een voorbeeldregister verwerkingen, een handleiding voor inzage- en verwijderverzoeken, een stappenplan voor een Privacy Impact Assessment, een model bewerkersovereenkomst en een quickscan om te bepalen of je organisatie een Functionaris voor de Gegevensbescherming nodig heeft). Zo maken wij het leden makkelijk om hun privacy-compliance op orde te krijgen.

Wil je een regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.