Logo Federatie Veilig Nederland

Het lidmaatschap

Algemeen

Lidmaatschapsvoordelen

Lid worden

Lidmaatschap wijzigen/opzeggen

Opleidingen

Aanbod

Aanmelden

Toets- en Eindtermen & Reglementen

Examens SSQ Safety-Security-Quality

Diploma kwijt?

REOB leslocaties

Erkenningen

Federatie Veilig Nederland

Missie en visie

Bureau

Algemeen Bestuur

Sectie voorzitters

Federatie Veilig Nederland Share for Care Foundation

Partners

Contactinformatie

De leden

Vakgebieden

Themagroepen

Ledenoverzicht

Federatie Label

Commissie van Beroep

Handige informatie

Thema’s

Federatie Veilig Nederland in beeld

FAQ

Feiten en cijfers

Downloads

AVG Downloads en links

Onderhoudsinstructies

Actueel

Nieuws

Protocol overvalalarmen gaat veranderen

Golfen met impact: Safety & Security Masters 2024

Blog van de voorzitter

Gastblog

Evenementenkalender

Talent in Techniek

Nieuwsbrieven

Voor consumenten

Federatie Veilig Nederland Label

Gastblog mei 19 Jules van Rijsewijk: Een jaar AVG, wat doen wij er mee?


Gastblog Jules van Rijswijk: een jaar AVG, wat doen wij er mee?

Het is deze maand een jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG of  GDPR in het Engels) van kracht is geworden in de gehele Europese Unie.

Samen met de bijbehorende Nederlandse Uitvoeringswet UAVG, waarin de specifieke invulling van de regels voor Nederland zijn vastgelegd, is hiermee de opvolging van de Wet Bescherming Persoonsgegevens (WBP) geregeld. Het doel van de verordening is om een tweetal belangen te waarborgen: (1) de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en (2) het vrije verkeer van persoonsgegevens binnen de Europese Unie.


Ondanks het feit dat de invoering van de AVG ruimschoots van tevoren was aangekondigd was er de laatste maanden voor 25 mei 2018 toch wel de nodige “privacy stress “. Vooral het feit dat de Autoriteit Persoonsgegevens, die in Nederland toezicht houdt op de uitvoering van de verordening, op enig moment astronomische boetes zou kunnen gaan uitdelen zorgde voor aandacht tot in de boardroom.


Zowel vlak voor, als gedurende het jaar na de invoering, ben ik de AVG als excuus of dreigmiddel in de meest rare situaties tegen gekomen. Van organisaties die bepaalde dingen niet meer konden doen “omdat dat niet mag volgens de AVG ” tot personen die een “datalek ” wilden melden omdat ze onterecht een brief van een vereniging hadden ontvangen. Ook de verwerkingsovereenkomsten die tussen bedrijven gesloten moeten worden vlogen ons om de oren, niet zelden met de meest rare voorwaarden.


Kort samengevat lijkt de invoering van de AVG wel de juiste sence of urgence op het gebied van privacy teweeg te hebben gebracht, maar is er ook nog heel veel ruis. Deze ruis ontstaat vooral als mensen zich niet of niet goed in de materie verdiepen. Op de website van de AP is alles uitgebreid omschreven. Er staan zeer duidelijke stroomschema ’s en een handleiding waarin elk artikel tot in detail wordt uitgelegd. De AVG is nadrukkelijk geen verbod op het verwerken van persoonsgegevens, maar geeft spelregels hoe er mee om te gaan:

  • Wat zijn de grondslagen en het doel van de verwerking (waarom?)
  • Op welke wijze worden de gegevens verzameld en opgeslagen (hoe?)
  • Wat doet u met de gegevens en met wie worden ze gedeeld (wat?)
  • Hoe zijn bovenstaande zaken geborgd binnen de organisatie?
  • Hoe zijn de rechten van de betrokkenen geborgd?
  • En hoe moet uw organisatie reageren als er onverhoopt toch iets fout gaat?

In grote lijnen is er niet zo heel veel veranderd ten opzichte van de WBP, de veranderingen liggen met name op het gebied van rechten van de personen wiens gegevens worden verwerkt. Informatierecht, inzagerecht en de rechten op correctie, beperking en verzet waren al onderdeel van de WPB. Nieuw zijn de rechten op vergetelheid en de gegevensoverdracht van persoonsgegevens.


Natuurlijk is de praktijk altijd een stuk complexer. Er is sprake van interpretatievraagstukken, weegt het doel van de verwerking op tegen de inbreuk op de privacy? Ook zijn er ogenschijnlijk tegenstrijdigheden met andere wetten en regels die bepaalde bewaartermijnen van gegevens voorschrijven. Daarnaast zijn “privacy by design ” en “privacy by default ” recente begrippen, terwijl veel van onze gegevensbestanden jaren geleden zijn gebouwd en gevuld. Moet je als organisatie een Privacy Impact Analyse (PIA) doen? Moet je een Data Privacy Officer (DPO) in dienst hebben?


Veel antwoorden kunnen worden gevonden op www.autoriteitpersoonsgegevens.nl. Daarnaast heeft Minister Dekker van Rechtsbescherming op 1 april 2019 per brief gereageerd op een aantal concrete vragen en knelpunten die door VNO-NCW zijn voorgelegd. Kern van zijn antwoord:

  • Er is vaak meer ruimte binnen de kaders van de AVG dan organisaties denken, daarom blijft de informatievoorziening vanuit de AP van groot belang;
  • Bij branche brede vraagstukken wordt betreffende branche aangemoedigd om over de interpretatie van zaken een convenant met de AP te sluiten;
  • Hij concludeert dat de wijzigingen ten opzichte van de WPBR niet zo drastisch zijn en dat er blijkbaar veel sprake is van achterstallig onderhoud;
  • Er is een drietal formele evaluatiemomenten in 2019, 2020 en 2021.


Kortom, er is terecht veel aandacht voor privacy, maar onwetendheid in combinatie met de dreiging van een astronomische boete zorgen er ook voor dat organisaties doorslaan. Het devies: informeer je goed en zoek aansluiting van branchegenoten en -verenigingen voor specifieke vraagstukken. De verenigingen hebben de directe lijnen met de AP!


Jules van Rijsewijk MSSM CPP CISSP RSE

Bestuurslid Federatie Veilig Nederland

Directeur Fire Safety & Security bij ENGIE Services Nederland


Mei 2019

  

Wist u dat?

  1. In Nederland de meeste meldingen warden gedaan? In Europa zijn 95.000 klachten en 59.000 datalekken gemeld, waarvan 11.000 en 15.400 uit Nederland. De 91 gegeven boetes gaan meestal niet over datalekken. Zo kreeg Google de hoogste boete ( 50 miljoen) voor het schenden van de informatieplicht i.c.m. het niet vragen van toestemming.
  2. De Autoriteit Persoonsgegevens had het druk!
    In 2018 ontvingen zij maar liefst 27.000 meldingen. De AP deed 16 onderzoeken en startte 17 handhavingstrajecten. Bij controles werd met name nagegaan of organisaties een Functionaris Gegevensbescherming hadden.