Op 25 mei treden strengere EU-regels voor gegevensbescherming in werking. De zogeheten Algemene Verordening Gegevensbescherming (AVG) staat in Europa bekend als de General Data Protection Regulation (GDPR).

De AVG stelt vergaande eisen aan organisaties en bedrijven die met persoonsgegevens werken. Het gebruik van persoonsgegevens is overal aanwezig. Denk daarbij aan de personeelsadministratie, klantenbestanden, camerabewaking, online-registraties en ga zo maar door.

De verplichtingen zijn onder de AVG niet meer vrijblijvend. Wie straks niet aan de wet voldoet, riskeert sancties van de toezichthouder (Autoriteit Persoonsgegevens), of erger, raakt het vertrouwen van zijn klanten kwijt.

Start met transparantie

“Voor organisaties die nog niet aan de nieuwe regels voldoen, is het de hoogste tijd om actie te ondernemen”, zegt Karima van Zadelhoff, manager Legal Office van EIFFEL. “Maar het is een illusie om te denken dat je in één klap AVG-proof bent”.

De operatie waar bedrijven en organisaties zich voor gesteld zien, mag niet onderschat worden. “Het is omvangrijk wat er moet gebeuren”, aldus Stéphanie Groothedde, consultant Legal Office bij EIFFEL. “Je merkt dat de onrust toeneemt nu de datum van 25 mei nadert. Maar er is geen reden voor paniek, want er is nog tijd voor actie”.

Maar er is geen reden voor paniek, want er is nog tijd voor actie.

Nu de tijd dringt, is het belangrijk om richting de toezichthouder in ieder geval te laten zien dat je als bedrijf en organisatie de privacy van je werknemers, klanten en burgers serieus neemt.

Concreet houdt dit in dat een bedrijf of organisatie transparant is over de persoonsgegevens die worden verwerkt en voor welk doel. Het verplichte register van verwerkingen waarin precies moet worden bijgehouden wat er gebeurt met persoonsgegevens is hier een voorbeeld van. De juiste houding ten aanzien van de bescherming van privacy draagt bij aan een soepele implementatie van de overige verplichtingen.

Versterk vertrouwen

Hoewel dus actie is vereist, moet de nieuwe wet niet alleen als onnodige ballast worden gezien. Integendeel, de wet biedt ook kansen. “Een organisatie die op respectvolle en integere wijze omgaat met persoonsgegevens wekt vertrouwen”, zegt Van Zadelhoff.

“Als je helder laat zien wat het doel is waarvoor de persoonsgegevens gebruikt worden en aantoont dat gegevens niet langer bewaard worden dan nodig is, dan zal de klant of burger eerder bereid zijn persoonsgegevens te verstrekken. Het mag namelijk niet zo zijn dat de business of overheidstaken onnodig belemmerd worden. Als bedrijf of organisatie wil je je in deze tijd juist positioneren als een veilige partner om mee te werken.”

De AVG geeft de prikkel om de bescherming van persoonsgegevens daadwerkelijk hoog op de agenda te plaatsen, vult Groothedde aan. Deze wens wordt breed gedragen en komt uit de maatschappij zelf. De behoefte aan verdere bescherming vloeit namelijk voor een belangrijk deel voort uit de opkomst van nieuwe technieken en de daarmee samenhangende (grove) inbreuken op de privacy van personen.

De vijf prioriteiten

Vijf acties springen in het oog als het gaat om de implementatie van de AVG. Onder de huidige privacywet bestaat de verplichting om datalekken te melden. Deze verplichting geldt ook onder de nieuwe wet. Als het proces rond de afhandeling van een datalek nog niet is ingeregeld, dan moet deze verplichting prioriteit krijgen.

Ook is het belangrijk om een register bij te houden waarin het gebruik van persoonsgegevens vrij gedetailleerd wordt bijgehouden. Ten derde bestaat voor overheden en bedrijven die op grote schaal persoonsgegevens verwerken, de verplichting om een Functionaris voor de Gegevensbescherming (FG) aan te stellen.

Ook is het belangrijk om een register bij te houden waarin het gebruik van persoonsgegevens vrij gedetailleerd wordt bijgehouden.
 

De FG is een interne toezichthouder die de naleving van de AVG controleert. Verder moet met alle partijen aan wie persoonsgegevens worden doorgespeeld overeenkomsten worden gesloten die correcte omgang met persoonsgegevens afdwingen.

Tot slot, maar misschien wel de belangrijkste, is het noodzakelijk om in te zetten op bewustwording van werknemers, klanten en burgers. Bewustwording is dé sleutel tot structurele naleving van de nieuwe privacywetgeving.

AVG: common sense

Niet alles in de AVG is in beton gegoten. De exacte invulling van veel verplichtingen is nog onduidelijk. Daarnaast ademt de AVG vooral ook common sense en dat moet ook, want met de voortgaande innovatie zullen er telkens nieuwe aandachtspunten zijn.

Welke maatregelen noodzakelijk zijn, is steeds opnieuw een afweging. Het principe van ‘privacy by design’ dwingt deze manier van werken ook af. “Bij elke nieuwe ontwikkeling moet ingeschat worden welke risico’s aan de betreffende ontwikkeling kleven en welke maatregelen getroffen moeten worden”, benadrukt Groothedde.

Werken vanuit de business

Bij al deze uitdagingen staat EIFFEL haar opdrachtgevers bij. EIFFEL is een zakelijke dienstverlener op het gebied van Legal, Finance, Process en Analytics. Van Zadelhoff licht toe: “EIFFEL Legal Office is privacy partner in de ruimste zin van het woord.

Dat betekent dat wij werken vanuit de business van onze opdrachtgevers en de mogelijkheden van de wet. Van daaruit implementeren wij de AVG, trainen we medewerkers en geven we advies. Wij blijven ook betrokken na de implementatie van de AVG: ons team van privacyjuristen staat klaar om snel en op maat te adviseren”.