Binnenkort zullen bedrijven in het kader van de nieuwe Europese privacywetgeving moeten laten zien dat zij de juiste organisatorische en technische maatregelen hebben genomen om privacygevoelige gegevens te beschermen. Op 25 mei 2018 treedt namelijk de Algemene Verordening Gegevensbescherming (AVG) in werking.

Privacyrechten van betrokkenen worden hierin versterkt en uitgebreid, en bedrijven die persoonsgegevens verwerken krijgen meer verantwoordelijkheden. Op tijd klaar zijn voor deze nieuwe wet vraagt een goede en tijdige voorbereiding en juist daar ziet Natascha dat het bij veel bedrijven aan schort. “Ze onderschatten de hoeveelheid tijd en werk die het kost om aan de nieuwe regels te voldoen. Veel bedrijven voldoen nog niet eens aan de oude wetgeving. Zij vergissen zich enorm in de inhaalslag die ze nog moeten maken”, waarschuwt de voorzitter van IT-Recht.

SIG IT-Recht

De SIG IT-Recht is een platform op het snijvlak van digitale techniek, informatievoorziening en recht, dat zich richt op de Nederlandse IT-professionals. “Onder deze groep zie je het bewustzijn rond privacy wel groeien. Desalniettemin staat privacy zelden voorop bij het ontwerpen en bouwen van IT-systemen.

Dit terwijl de AVG organisaties verplicht ‘privacy by design’ toe te passen. Dat komt doordat het niet door het management gedragen wordt, en dan houdt het gewoon op. Privacy is een breed onderwerp, dat ook breed en multidisciplinair binnen organisaties opgepakt moet worden”, benadrukt Natascha.

Verantwoordelijkheidsplicht

Eén van de grote veranderingen die de nieuwe AVG met zich meebrengt, is dat het bedrijven ‘accountability’ oplegt. “Deze verantwoordelijkheidsplicht houdt in dat organisaties moeten kunnen aantonen dat zij de juiste maatregelen hebben genomen om aan de wet te voldoen.

Zo moet er privacybeleid zijn en voldaan worden aan een documentatieplicht. Ook zal een groot aantal organisaties een ‘functionaris voor de gegevensverwerking’ (FG) moeten aanstellen of een ‘data protection impact assessment’ (DPIA) moeten uitvoeren, om inzicht in de risico’s te krijgen. Dit zijn onderdelen van de wet die écht voorbereidingstijd vragen”, vertelt Natascha. 

Naast de reeds bestaande rechten op inzage en correctie, voegt de AVG enkele nieuwe rechten toe die betrokkenen kunnen uitoefenen. Voorbeelden hiervan zijn het recht op ‘dataportabiliteit’, waarbij het individu gegevens makkelijk moet kunnen laten overzetten van de ene naar de andere organisatie, en ‘the right to be forgotten’, wat inhoudt dat een betrokkene onder bepaalde omstandigheden totale verwijdering van zijn gegevens uit een systeem kan eisen. Belangrijk aspect bij deze nieuwe rechten is dat organisaties het uitoefenen ervan daadwerkelijk mogelijk moeten maken en dit ook moeten kunnen aantonen.

“En ja, als je op 25 mei 2018 niet voldoet aan de eisen die de wet stelt, dan kúnnen er hoge boetes vallen of bestuurders hoofdelijk aansprakelijk worden gesteld"

Drijfveer achter compliancy

Organisaties die zich afvragen waar ze moeten beginnen adviseert Natascha de website van de autoriteit persoonsgegevens eens te bekijken. Daar staat hoe een organisatie zich in tien stappen kan voorbereiden op de AVG. Natascha: “En ja, als je op 25 mei 2018 niet voldoet aan de eisen die de wet stelt, dan kúnnen er hoge boetes vallen of bestuurders hoofdelijk aansprakelijk worden gesteld. Toch is dat in mijn ogen niet de belangrijkste reden waarom je als bedrijf compliant moet willen zijn. Het voldoen aan de AVG zou voor het management gewoon onderdeel moeten uitmaken van het streven naar totale kwaliteit.”