Waar staan we?
25 mei 2018 is het zover: de Algemene Verordening Gegevensbescherming 2016/679 (AVG) treedt in werking. Met minder dan een jaar te gaan wordt haar roep langzaam maar zeker steeds luider. De adviesbureaus en advocatenkantoren die privacy expertise promoten gaan voorop. Zij worden op de voet gevolgd door de W&S bureaus en grote Corporates die naarstig op zoek zijn naar een “Functionaris voor de Gegevensbescherming”. Als laatste maar niet als minste wordt de rij gesloten door IT bedrijven die software hebben ontwikkeld om aan de AVG te voldoen.
Het is alleen zeer de vraag of deze drie “sectoren” iedereen die het aangaat wel kan bereiken – en helemaal of dat tijdig zal zijn. De centrale overheid draagt dapper een steentje bij aan de bewustwording, helaas onder de radar van velen. De Autoriteit Persoonsgegevens brengt bijvoorbeeld met regelmaat nieuwe richtlijnen van de artikel 29 werkgroep van de Europese Privacytoezichthouders onder de aandacht, recent is het nieuwe jaarverslag gepubliceerd met volop aandacht voor de AVG en een enkele keer komt men zelfs op TV, zie het interview met Aleid Wolfsen bij NOS Nieuwsuur (vanaf ongeveer minuut 15 tot 20).
Een jaar vliegt zo voorbij. Als alle Nederlandse gemeenten een brief krijgen van de Autoriteit Persoonsgegevens over (verkeerde) omgang met data privacy vereisten en datalekken, is dat een teken aan de wand. Er moet nog veel gebeuren.
Hoe moeilijk wordt het?
Elke organisatie in de EU die persoonsgegevens verwerkt moet na 25 mei 2018 aantoonbaar voldoen aan de AVG. Dat wil grofweg zeggen elke organisatie met werknemers, waarvan de persoonsgegevens zijn opgeslagen in een geautomatiseerd systeem. Het geldt natuurlijk (nog) meer voor bedrijven en instanties die daadwerkelijk persoonsgegevens verwerken. Aantoonbaar wil simpelweg zeggen gedocumenteerd. De moeilijkheidsgraad zal dus erg afhangen van de wijze waarop de organisatie is ingericht – en welke diensten en producten men levert.
Hoe makkelijk kan het?
Voldoen aan de AVG hoeft geen ingrijpende consequenties te hebben, als een bepaalde basis aanwezig is. Dat zal meestal het geval zijn als een bedrijf:
- zijn procedures en processen goed in kaart heeft;
- bereid is tijd en geld te investeren voor een tijdige implementatie van de AVG en
- weinig tot geen systeemaanpassingen nodig heeft.
Een Privacy Impact Assessment is zeer aan te bevelen om eventuele manco’s zichtbaar te maken. Het zal verder een inschatting geven van de hoeveelheid werk. Iedereen kan het – in theorie, met basale kennis van Data Privacy, enig inzicht in processen, wat gevoel voor risico’s en bij voorkeur een juridische voelspriet. Er circuleren voorbeelden te over op internet. Als je de tijd of expertise echter niet hebt, huur dan iemand in.
Wanneer wordt het lastig?
Dat is een lastige vraag… Bijvoorbeeld voor een bedrijf met meerdere kantoren in Nederland, die allemaal werken met verschillende systemen; of een internationaal opererend bedrijf dat zich gedeeltelijk buiten de EU bevindt, helemaal als gebruik wordt gemaakt van servers die buiten de EU zijn geplaatst en die persoonsgegevens bevatten; of een bedrijf met een systeem dat niet geschikt is voor verwijdering, anonymisering of pseudonymisering van persoonsgegevens; et cetera. Er zijn gelukkig uitzonderingen in de AVG opgenomen, belangrijk is dat lastigere situaties meer tijd en expertise zullen vragen, met alle bijbehorende gevolgen. Zonder twijfel een professional inschakelen.
Wat zijn de positieve effecten?
Voldoen aan data privacy vereisten zal de spreekwoordelijke transparantie 2.0 worden. De bedrijven die op vrijdag 25 mei 2018 aantoonbaar voldoen aan de verordening, zullen een voorsprong hebben op andere. Zeker op bedrijven die (nog) niet voldoen. Klanten gaan daarop letten, gegarandeerd. Als dat geen positieve drijfveer is om stappen te zetten, dan weet ik niet wat wel.
Wat als...?
Voor de enkeling die negatieve inspiratie zoekt, de 110 M EUR boete opgelegd aan Facebook spreekt boekdelen. Deze is weliswaar gebaseerd op overtreding van de EU verordening over fusies, de data privacy aspecten zijn echter overduidelijk. Informatie was niet verstrekt aan de Europese Commissie, specifiek over het (kunnen) linken van identiteiten van gebruikers van WhatsApp en Facebook. In data privacy termen, persoonsgegevens zijn gebruikt in strijd met het doel waarvoor ze waren verstrekt. De enige vraag die rest is of nog meer actie zal volgen. Het persbericht laat die ruimte: “(…) de beslissing van vandaag is noch gerelateerd aan voortdurende nationale mededingingsrechtelijke procedures noch aan privacy, data bescherming of consumentenbescherming issues, die mogelijk kunnen ontstaan volgend op de update van de WhatsApp service voorwaarden en privacybeleid van augustus 2016 (today’s decision is unrelated to either ongoing national antitrust procedures or privacy, data protection or consumer protection issues, which may arise following the August 2016 update of WhatsApp terms of service and privacy policy)”.
Wordt vervolgd.
