home  /  ...

Gastblog


Gastblog Jules van Rijsewijk: een jaar AVG, wat doen wij er mee?

Het is deze maand een jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG of  GDPR in het Engels) van kracht is geworden in de gehele Europese Unie. Samen met de bijbehorende Nederlandse Uitvoeringswet UAVG, waarin de specifieke invulling van de regels voor Nederland zijn vastgelegd, is hiermee de opvolging van de Wet Bescherming Persoonsgegevens (WBP) geregeld. Het doel van de verordening is om een tweetal belangen te waarborgen: (1) de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en (2) het vrije verkeer van persoonsgegevens binnen de Europese Unie.


Ondanks het feit dat de invoering van de AVG ruimschoots van tevoren was aangekondigd was er de laatste maanden voor 25 mei 2018 toch wel de nodige “privacy stress”. Vooral het feit dat de Autoriteit Persoonsgegevens, die in Nederland toezicht houdt op de uitvoering van de verordening, op enig moment astronomische boetes zou kunnen gaan uitdelen zorgde voor aandacht tot in de boardroom.


Zowel vlak voor, als gedurende het jaar na de invoering, ben ik de AVG als excuus of dreigmiddel in de meest rare situaties tegen gekomen. Van organisaties die bepaalde dingen niet meer konden doen “omdat dat niet mag volgens de AVG” tot personen die een “datalek” wilden melden omdat ze onterecht een brief van een vereniging hadden ontvangen. Ook de verwerkingsovereenkomsten die tussen bedrijven gesloten moeten worden vlogen ons om de oren, niet zelden met de meest rare voorwaarden.


Kort samengevat lijkt de invoering van de AVG wel de juiste sence of urgence op het gebied van privacy teweeg te hebben gebracht, maar is er ook nog heel veel ruis. Deze ruis ontstaat vooral als mensen zich niet of niet goed in de materie verdiepen. Op de website van de AP is alles uitgebreid omschreven. Er staan zeer duidelijke stroomschema’s en een handleiding waarin elk artikel tot in detail wordt uitgelegd. De AVG is nadrukkelijk geen verbod op het verwerken van persoonsgegevens, maar geeft spelregels hoe er mee om te gaan:


  • Wat zijn de grondslagen en het doel van de verwerking (waarom?)
  • Op welke wijze worden de gegevens verzameld en opgeslagen (hoe?)
  • Wat doet u met de gegevens en met wie worden ze gedeeld (wat?)
  • Hoe zijn bovenstaande zaken geborgd binnen de organisatie?
  • Hoe zijn de rechten van de betrokkenen geborgd?
  • En hoe moet uw organisatie reageren als er onverhoopt toch iets fout gaat?


In grote lijnen is er niet zo heel veel veranderd ten opzichte van de WBP, de veranderingen liggen met name op het gebied van rechten van de personen wiens gegevens worden verwerkt. Informatierecht, inzagerecht en de rechten op correctie, beperking en verzet waren al onderdeel van de WPB. Nieuw zijn de rechten op vergetelheid en de gegevensoverdracht van persoonsgegevens.


Natuurlijk is de praktijk altijd een stuk complexer. Er is sprake van interpretatievraagstukken, weegt het doel van de verwerking op tegen de inbreuk op de privacy? Ook zijn er ogenschijnlijk tegenstrijdigheden met andere wetten en regels die bepaalde bewaartermijnen van gegevens voorschrijven. Daarnaast zijn “privacy by design” en “privacy by default” recente begrippen, terwijl veel van onze gegevensbestanden jaren geleden zijn gebouwd en gevuld. Moet je als organisatie een Privacy Impact Analyse (PIA) doen? Moet je een Data Privacy Officer (DPO) in dienst hebben?


Veel antwoorden kunnen worden gevonden op www.autoriteitpersoonsgegevens.nl. Daarnaast heeft Minister Dekker van Rechtsbescherming op 1 april 2019 per brief gereageerd op een aantal concrete vragen en knelpunten die door VNO-NCW zijn voorgelegd. Kern van zijn antwoord:

  • Er is vaak meer ruimte binnen de kaders van de AVG dan organisaties denken, daarom blijft de informatievoorziening vanuit de AP van groot belang;
  • Bij branche brede vraagstukken wordt betreffende branche aangemoedigd om over de interpretatie van zaken een convenant met de AP te sluiten;
  • Hij concludeert dat de wijzigingen ten opzichte van de WPBR niet zo drastisch zijn en dat er blijkbaar veel sprake is van achterstallig onderhoud;
  • Er is een drietal formele evaluatiemomenten in 2019, 2020 en 2021.


Kortom, er is terecht veel aandacht voor privacy, maar onwetendheid in combinatie met de dreiging van een astronomische boete zorgen er ook voor dat organisaties doorslaan. Het devies: informeer je goed en zoek aansluiting van branchegenoten en -verenigingen voor specifieke vraagstukken. De verenigingen hebben de directe lijnen met de AP!


Jules van Rijsewijk MSSM CPP CISSP RSE

Bestuurslid Federatie Veilig Nederland

Directeur Fire Safety & Security bij ENGIE Services Nederland


Mei 2019

  

Wist u dat?

  1. in Nederland de meeste meldingen worden gedaan? In Europa zijn in totaal 95.000 klachten en 59.000 datalekken gemeld, waarvan 11.000 c.q. 15.400 uit Nederland. De 91 gegeven boetes gaan meestal niet over datalekken. Zo kreeg Google de hoogste boete (€50 miljoen) voor het schenden van de informatieplicht i.c.m. het niet vragen van toestemming.
  2. de Autoriteit Persoonsgegevens het druk had?
    In 2018 ontvingen zij maar liefst 27.000 meldingen. De AP deed 16 onderzoeken en startte 17 handhavingstrajecten. Bij controles werd met name nagegaan of organisaties een Functionaris Gegevensbescherming hadden.

Commentaar

Reageren op bovenstaande gastblog? Of heeft u nog vragen? 

Mail ons! 

Gastbloggers gezocht!

Ook uw mening geven? Schrijf over de kennis die u heeft!


Als ondernemer kent u de markt als geen ander, u weet wat er speelt, wat de veranderingen zijn en waar de behoeftes liggen. Breng deze behoeftes en vragen eens in kaart en deel uw mening of kennis via een blog!

Voor een serie gastblogs, naast de al bestaande blogs van de voorzitter, zoeken wij bloggers met een mening. Neem contact op met Erwin Schoemaker via erwin.schoemaker@vebon-novb.nl voor meer informatie of om uw onderwerp/concepttekst aan te leveren. De richtlijnen voor de blog vindt u hieronder.

Richtlijnen gastblog

Wilt u een gastblog schrijven? Wij hebben enkele richtlijnen opgesteld om de schrijver de helpende hand te bieden. Bekijk de richtlijnen.

Bezoekadres
Zilverstraat 69, 2718 RP Zoetermeer
Postadres
Postbus 840, 2700 AV Zoetermeer
Telefoon
079 - 203 50 15
E-mail
info@federatieveilignederland.nl
 
 
volg ons

Technologie in brandveiligheid & beveiliging