/, Nieuws/Algemene Verordening Gegevensbescherming: papieren tijger of een zegen?

De Algemene Verordening Gegevensbescherming, moeten we het beschouwen als een nieuwe papieren tijger of een zegen? Lees deze blog van onze bedrijfsjurist Ezra Ricker.

In een reeks van blogs geven wij een aantal handvatten die u kunnen helpen om op 25 mei 2018 klaar te zijn voor de Algemene Verordening Gegevensbescherming (hierna AVG). In deze eerste blog beschrijft onze bedrijfsjurist, Ezra Ricker, de situatie onder de Wet bescherming Persoonsgegevens (hierna Wbp) en de kansen die de AVG uw organisatie kan bieden.

Sinds september 2001 is de Wbp van kracht. Deze wet vormt de implementatie van de richtlijn bescherming persoonsgegevens (95/46/EG) en regelt op welke wijze organisaties in Nederland met persoonsgegevens dienen om te gaan. Een persoonsgegeven is kort gezegd ieder gegeven dat over een identificeerbare of geïdentificeerde natuurlijke persoon gaat.

Hoewel er in Nederland al 15 jaar aan wettelijke vereisten voor de omgang met persoonsgegevens moest worden voldaan, ontstond er voor veel organisaties pas aandacht voor de Wbp met de invoering van de meldplicht datalekken op 1 januari 2016. De voornaamste reden voor deze aandacht was toe te bedelen aan de mogelijkheid van de huidige Autoriteit Persoonsgegevens (hierna AP) om een boete op te leggen van maximaal 820.000 euro. Ineens werden er bewerkersovereenkomsten gesloten, ook als dat niet nodig was. De angst voor een boete was simpelweg te groot. In de praktijk bestaat er nog geen boete op het ontbreken van een bewerkersovereenkomst en is er door de Autoriteit Persoonsgegevens nog geen boete bij een datalek opgelegd. Betekent dat dan dat organisaties voldoen aan de Wbp en in control zijn? Niets is minder waar. De AP heeft in 2016 een totaal van 5693 meldingen ontvangen en er zijn partijen die schatten dat er in 2016 in totaal 20.000 datalekken plaats hebben gevonden.

Een belangrijke oorzaak voor het bestaan van dit grote aantal datalekken is het ontbreken van een plan-do-check-act-cyclus. Veel organisaties zijn incident gedreven en richten zich onvoldoende op de preventie van een datalek. Partijen maken afspraken, maar er vindt geen controle plaats op deze afspraken. Daarnaast hebben partijen de grootste moeite om een overzicht te krijgen van waar persoonsgegevens zich bevinden en welke beveiligingsmaatregelen bij de betreffende persoonsgegevens horen. Is de Wbp daarmee een papieren tijger? Tot januari 2016 had die vraag bevestigend kunnen worden beantwoord. Op dit moment kan worden vastgesteld dat de naleving van de Wbp nog in de kinderschoenen staat. In het afgelopen jaar is er een maatschappelijk bewustzijn ontstaan doordat het ene na het andere datalek het nieuws bereikte. Het wordt eens te meer duidelijk dat privacy in veel gevallen onvoldoende op orde is. Gaat de AVG verandering brengen in deze situatie?

De AVG vervangt de Wbp en de richtlijn bescherming persoonsgegevens (95/46/EG). Doordat een verordening directe werking heeft, worden de regels in de lidstaten gelijk. De Britten zullen ondanks de Brexit de AVG ook gewoon implementeren. Er is wat betreft de uniformiteit nog een slag om de arm te houden: de lidstaten kunnen de verwerking van persoonsgegevens voor een aantal onderwerpen vastleggen in een uitvoeringswet. Het gaat om de verwerking van persoonsgegevens voor journalistieke doeleinden, in de arbeidsverhouding en voor wetenschappelijk onderzoek. Daarnaast kunnen uitzonderingen voor het verbod van verwerking van bijzondere persoonsgegevens, zoals biometrische genetische gegevens worden vastgelegd. Nederland heeft nog geen uitvoeringswet aangenomen, wel is er een concept geconsulteerd.

De AVG verplicht iedere organisatie om een register aan te houden van alle verwerkingen van persoonsgegevens. Het vormen van dit register kan de eerste stap zijn om tot de inventarisatie te komen van de risico’s en te nemen stappen voor de AVG binnen uw organisatie. Al snel loopt u tegen een praktisch probleem aan: hoe kom ik tot een volledig overzicht van alle verwerkingen binnen mijn organisatie? Waar bewaart de HR-afdeling de gegevens van sollicitanten? In welke applicaties worden de persoonsgegevens van klanten opgeslagen? Welke informatie deelt u eigenlijk met die partij waar u veel mee samenwerkt? Hoe garandeert u dat bestanden met persoonsgegevens niet lokaal zijn opgeslagen? Een manier is om de afdelingen zelf verantwoordelijk te maken en u de informatie aan te leveren. Het risico op onvolkomenheden is daarbij echter erg groot. Een andere methode waar wij meer in geloven is om uw data te scannen op het bevatten van persoonsgegevens. Er zijn verschillende partijen die oplossingen bieden op dit vlak. Een voordeel is dat u hiermee al de voorbode heeft van een register en daarnaast data kunt classificeren en daarmee de juiste beveiligingsmaatregelen kunt treffen. De kosten van een dergelijke scan wegen niet op tegen het profijt dat uw organisatie in de toekomst zal hebben, zeker als u dit (periodiek) blijft monitoren en hier een plan-do-check-act-cyclus aan verbindt. Daarmee wordt de AVG behapbaar en krijgt u grip op datalekken. Wat wordt uw aanpak en welke stappen gaat u zetten om te voldoen aan de AVG? Wij denken graag met u mee.

In een volgend blog gaan wij in op de (nieuwe) rechten die de AVG geeft aan de betrokkenen waarvan u persoonsgegevens verwerkt.

2018-09-17T11:39:54+00:00