In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvaten om te komen tot een verantwoorde omgang met persoonsgegevens.
Tijdens deze blog gaat het over mijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG), in het Engels ook de General Data Protection Ruling (GDPR).
De deadline
Het is al echt heel vaak gezegd, en komt de laatste tijd ook steeds vaker langs in allerlei commerciële uitingen van bedrijven. Op 25 mei 2018, moet ieder bedrijf voldoen aan de AVG. Nog even een kleine recap. Nederland heeft sinds 1989 op enige wijze specifieke wetgeving die het gebruik van persoonsgegevens reguleert. Het recht op privacy staat al langer in onze grondwet, maar met de Wet persoonsregistratie uit 1989 is er ook een “start” gemaakt met het opstellen van specifieke (wettelijke) regels rondom het gebruik van persoonsgegevens. Om de tijdlijn even af te maken (niet noodzakelijkerwijze volledig), in 1995 is de Europese dataproctierichtlijn ((95/46/EG) uitgekomen, hierop is de kort gezegd Nederlandse vertaling van deze richtlijn, de wet bescherming persoonsgegevens op 1 September 2001 in werking getreden. Deze is de afgelopen zestien jaar een aantal keren aangepast, en er zijn aanvullende richtlijnen uitgebracht voor bijvoorbeeld de telecom sector. Recentelijk is ingaande 1 januari 2016 een aanvulling op de WBP wet in werking getreden die een algemene meldplicht heeft bij datalekken en een boete mogelijkheid voor de Autoriteit persoonsgegevens.
Dit alles heeft ons gebracht bij 4 mei 2016, een heugelijke dag, want op die dag is de VERORDENING (EU) 2016/679 (de AVG) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing. De Nederlandse wet bescherming persoonsgegevens wordt vervangen door een uitvoeringswet voor deze verordening (UAVG). Deze uitvoeringswet heeft de eerste consultatieronde doorlopen, de AP heeft er een advies over geschreven. De deadline van de AVG is overigens niet afhankelijk van deze uitvoeringswet. Maar in de wet worden een aantal zaken die in de Europese verordening aan de lidstaten worden overgelaten ter verdere invulling geregeld. Hoogstwaarschijnlijk wordt hier ook de Nederlandse situatie van het bijzondere karakter van het BurgerServiceNummer in vastgelegd.
Doordat de Nederlandse wetgever al veel van wat in de AVG wordt geregeld in wetgeving had vertaald lopen wij (in ieder geval theoretisch) voor op een aantal andere lidstaten. Wij hoeven geen meldproces meer in te richten (toch?), want dat moeten ieder bedrijf al sinds 1 januari 2016 in gebruik hebben.
Het Stappenplan
Goed, nu weer terug naar nu. We zijn een jaar na de publicatie van de AVG, en ik zie om mij heen heel veel organisaties bezig zijn met stap 1 van de voorbereidingen: het bewustzijn verhogen.
Er zijn in het afgelopen jaar grote stappen gezet in het bewustzijn. Er is wel een zorg bij mij dat het vooral een “compliancy dingetje” aan het worden is. Waardoor de geest van de verordening, het bewust goed omgaan met persoonsgegevens wat meer naar de achtergrond verdwijnt.
Ook hoor ik weer, net als bij informatiebeveiliging, allerlei leveranciers die doosjes en producten op de markt brengen die je alleen maar hoeft te kopen om te voldoen aan de AVG. Mijn advies, trap daar niet te snel in. Hoewel er voor de juiste bescherming van persoonsgegevens wel informatiebeveiligingsmaatregelen nodig zijn is voldoen aan de AVG geen technologisch “probleem”.
Overigens, er zijn ook een flink aantal organisaties (zowel in het publieke domein als in de private organisaties) die al grote stappen hebben gemaakt. Maar minimaal een even groot aantal organisaties worstelt nog met de inrichting van Privacy management.
Zowel de AP als hun Belgische collega’s (Commissie voor de bescherming van de persoonlijke levenssfeer) hebben een stappenplan gepubliceerd. Ik ben zelf erg gecharmeerd van de variant van de Belgische toezichthouder omdat deze in mijn ogen net iets meer handvatten geeft. Het zijn dan ook 3 stappen meer dan de Nederlandse variant, maar dat komt ook omdat onze Nederlandse AP er van uitgaat dat de processen voor de eerder genoemde meldplicht al plaats vinden.
Figuur 1: Bereid je voor in 13 stappen
Stap 2: het inrichten van het register, moet zo langzamerhand wel worden opgestart. Een voordeel van deze stap is trouwens ook dat voor de volgende stappen een risico gebaseerde aanpak gekozen zou kunnen worden. Alle volgende stappen worden eerst uitgevoerd voor de verwerkingen die het grootste risico op aantasting van de persoonlijke levenssfeer van de betrokkenen in zich heeft.
Het is immers te verdedigen dat de maatschappelijke goede omgang met gegevens meer gebaat is met de juiste maatregelen als het gaat om bijzondere gegevens. Als die niet juist worden verwerkt is de mogelijke schade voor de betrokkenen immers ook groter.
Moraal van dit verhaal, wacht niet te lang en breng in kaart welke verwerkingsprocessen en systemen er zijn en voer bovenstaande stappen als eerste uit voor risicovolle verwerkingen.
En onthoud ook dat in het kader van de AVG het niet zo is dat niets mag, maar dat het vooral een zaak is van het juiste doen. Persoonsgegevens kunnen en mogen verwerkt worden, mits wordt voldaan aan de met elkaar afgesproken basis regels.
AVG-training voor IT-professionals
Bekijk hier de AVG training voor IT-professionals