​Privacy: Stand van zaken

In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvaten om te komen tot een verantwoorde omgang met persoonsgegevens.

Tijdens deze blog gaat het over mijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG), in het Engels ook de General Data Protection Ruling (GDPR).

De deadline

Het is al echt heel vaak gezegd, en komt de laatste tijd ook steeds vaker langs in allerlei commerciële uitingen van bedrijven. Op 25 mei 2018, moet ieder bedrijf voldoen aan de AVG. Nog even een kleine recap. Nederland heeft sinds 1989 op enige wijze specifieke wetgeving die het gebruik van persoonsgegevens reguleert. Het recht op privacy staat al langer in onze grondwet, maar met de Wet persoonsregistratie uit 1989 is er ook een “start” gemaakt met het opstellen van specifieke (wettelijke) regels rondom het gebruik van persoonsgegevens. Om de tijdlijn even af te maken (niet noodzakelijkerwijze volledig), in 1995 is de Europese dataproctierichtlijn ((95/46/EG) uitgekomen, hierop is de kort gezegd Nederlandse vertaling van deze richtlijn, de wet bescherming persoonsgegevens op 1 September 2001 in werking getreden. Deze is de afgelopen zestien jaar een aantal keren aangepast, en er zijn aanvullende richtlijnen uitgebracht voor bijvoorbeeld de telecom sector. Recentelijk is ingaande 1 januari 2016 een aanvulling op de WBP wet in werking getreden die een algemene meldplicht heeft bij datalekken en een boete mogelijkheid voor de Autoriteit persoonsgegevens.

Dit alles heeft ons gebracht bij 4 mei 2016, een heugelijke dag, want op die dag is de VERORDENING (EU) 2016/679 (de AVG) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing. De Nederlandse wet bescherming persoonsgegevens wordt vervangen door een uitvoeringswet voor deze verordening (UAVG). Deze uitvoeringswet heeft de eerste consultatieronde doorlopen, de AP heeft er een advies over geschreven. De deadline van de AVG is overigens niet afhankelijk van deze uitvoeringswet. Maar in de wet worden een aantal zaken die in de Europese verordening aan de lidstaten worden overgelaten ter verdere invulling geregeld. Hoogstwaarschijnlijk wordt hier ook de Nederlandse situatie van het bijzondere karakter van het BurgerServiceNummer in vastgelegd.

Doordat de Nederlandse wetgever al veel van wat in de AVG wordt geregeld in wetgeving had vertaald lopen wij (in ieder geval theoretisch) voor op een aantal andere lidstaten. Wij hoeven geen meldproces meer in te richten (toch?), want dat moeten ieder bedrijf al sinds 1 januari 2016 in gebruik hebben.

Het Stappenplan

Goed, nu weer terug naar nu. We zijn een jaar na de publicatie van de AVG, en ik zie om mij heen heel veel organisaties bezig zijn met stap 1 van de voorbereidingen: het bewustzijn verhogen.

Er zijn in het afgelopen jaar grote stappen gezet in het bewustzijn. Er is wel een zorg bij mij dat het vooral een “compliancy dingetje” aan het worden is. Waardoor de geest van de verordening, het bewust goed omgaan met persoonsgegevens wat meer naar de achtergrond verdwijnt.

Ook hoor ik weer, net als bij informatiebeveiliging, allerlei leveranciers die doosjes en producten op de markt brengen die je alleen maar hoeft te kopen om te voldoen aan de AVG. Mijn advies, trap daar niet te snel in. Hoewel er voor de juiste bescherming van persoonsgegevens wel informatiebeveiligingsmaatregelen nodig zijn is voldoen aan de AVG geen technologisch “probleem”.

Overigens, er zijn ook een flink aantal organisaties (zowel in het publieke domein als in de private organisaties) die al grote stappen hebben gemaakt. Maar minimaal een even groot aantal organisaties worstelt nog met de inrichting van Privacy management.

Zowel de AP als hun Belgische collega’s (Commissie voor de bescherming van de persoonlijke levenssfeer) hebben een stappenplan gepubliceerd. Ik ben zelf erg gecharmeerd van de variant van de Belgische toezichthouder omdat deze in mijn ogen net iets meer handvatten geeft. Het zijn dan ook 3 stappen meer dan de Nederlandse variant, maar dat komt ook omdat onze Nederlandse AP er van uitgaat dat de processen voor de eerder genoemde meldplicht al plaats vinden.

Figuur 1: Bereid je voor in 13 stappen

Stap 2: het inrichten van het register, moet zo langzamerhand wel worden opgestart. Een voordeel van deze stap is trouwens ook dat voor de volgende stappen een risico gebaseerde aanpak gekozen zou kunnen worden. Alle volgende stappen worden eerst uitgevoerd voor de verwerkingen die het grootste risico op aantasting van de persoonlijke levenssfeer van de betrokkenen in zich heeft.

Het is immers te verdedigen dat de maatschappelijke goede omgang met gegevens meer gebaat is met de juiste maatregelen als het gaat om bijzondere gegevens. Als die niet juist worden verwerkt is de mogelijke schade voor de betrokkenen immers ook groter.

Moraal van dit verhaal, wacht niet te lang en breng in kaart welke verwerkingsprocessen en systemen er zijn en voer bovenstaande stappen als eerste uit voor risicovolle verwerkingen.

En onthoud ook dat in het kader van de AVG het niet zo is dat niets mag, maar dat het vooral een zaak is van het juiste doen. Persoonsgegevens kunnen en mogen verwerkt worden, mits wordt voldaan aan de met elkaar afgesproken basis regels.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Controle is van gisteren, vertrouwen is van nu

    Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt.

    Lees verder
  • Informatiebeveiliging uit een doosje?

    Hoe komt het toch dat er nog steeds een trend lijkt te bestaan dat informatiebeveiliging kan worden gekocht door een mooi nieuw doosje of product aan te schaffen? Het zou natuurlijk ook mooi zijn als die belofte eindelijk bewaarheid zou kunnen worden, maar ik zie steeds meer parallellen met de verkooptrucjes van allerlei prullaria die overdag op TV worden verkocht.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • Privacy: Bewaartermijnen uitgelegd

    In deze blog over privacy gaat Jacques Eding in op de verschillende onderdelen van een goed privacy management framework.

    Lees verder
  • Privacy: Wat is een Functionaris Gegevensbescherming?

    We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard.

    Lees verder
  • Privacy: wat is nu eigenlijk een persoonsgegeven?

    Jacques Eding blogt over privacy: Wat is nu eigenlijk een persoonsgegeven en waarom zijn er specifieke regels bedacht voor die gegevens?

    Lees verder
  • Privacy: Wat betekent “verwerken”?

    Jacques Eding blogt over privacy: Wanneer ben ik nu persoonsgegevens aan het verwerken en wanneer ook niet?

    Lees verder
  • Privacy: Wat mag er eigenlijk verwerkt worden?

    Jacques Eding blogt over privacy: Wanneer mogen persoonsgegevens nu eigenlijk verwerkt worden?

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandel ik weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Ik ga verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder
  • Privacy: De AVG? Wij verzekeren ons wel

    De AVG? Wij verzekeren ons wel. Er gaan op verschillende plaatsen discussies rond met als strekking deze stelling. In deze blog een betoog waarom dit moreel (en juridisch) een verwerpelijk standpunt is.

    Lees verder