ZBC Kennisbank

De wereld vergaat niet op 25 mei door de AVG

 

Het rumoer rond de AVG heeft veel weg van de Y2K bubbel. Destijds waren velen er van overtuigd dat met de eeuwwisseling de infrastructuur ineen zou storten met rampzalige gevolgen. De werkelijkheid was anders. Afgezien van een paar kleine incidenten draaide de wereld gewoon door.

Met de AVG zal het niet veel anders zijn. Weliswaar is het aantal artikelen in de AVG opgeschroefd van 34 in de Wbp naar 99, maar eigenlijk staat er weinig nieuws in de nieuwe verordening gegevensbescherming. De hoofdlijn dat je netjes om moet gaan met de privacy van natuurlijke personen is vrijwel niet veranderd. Eigenlijk is deze zelfs verruimd. Als je kunt aantonen dat je een belangenafweging hebt gemaakt, op grond hiervan je keuzes hebt bepaald en hierover transparant bent geweest, dan is zelfs datahandel, de meest groffe inbreuk op de privacy, toegestaan, mits je wel aan een aantal administratieve verplichtingen en een aantal beveiligingseisen voldoet.

Moet je je zorgen maken?

Vrijwel alle organisaties verwerken persoonsgegevens in het belang van zowel de verantwoordelijke als de betrokkene. De belangenafweging is dan simpel. In de zorg heeft de patiënt of cliënt (de betrokkene) er alle belang bij een zo goed mogelijke zorg te ontvangen. De zorgverlener wil deze zorg graag geven. Hij of zij is niet voor niets werkzaam in de zorg. Belangrijke voorwaarde voor het kunnen leveren van de beste zorg en het continu verbeteren van de kwaliteit van die zorg, is dat kennis tussen zorgverleners gedeeld wordt. Dat hierbij ook persoonsgegevens van een betrokkene gedeeld worden, is vanzelfsprekend. Niets is immers zo erg als het door elkaar raken van medische gegevens van betrokkenen.
Natuurlijk moeten zorgverleners er wel duidelijk over zijn (bijvoorbeeld in hun voorwaarden) dat zij persoonsgegevens delen en ervoor zorgen dat zij kunnen aantonen dat een  betrokkene hiervoor toestemming heeft gegeven. Hetzelfde geldt natuurlijk voor onderwijsinstellingen en overheden en in feite voor alle dienstverleners. Zij ontlenen hun bestaansrecht aan een optimale dienstverlening inclusief alles wat daarvoor nodig is. Daarover gaat dan ook artikel 1 van de AVG. Dit artikel geeft aan, dat de bescherming van persoonsgegevens het vrije verkeer van persoonsgegevens niet mag verbieden of beperken. Persoonsgegevens op een zinvolle manier en ook in het belang van de betrokkene gebruiken, is dus gewoon toegestaan. Dat was zo en dat blijft zo.

Wat moet er dan wel?

Zoals gezegd zijn er twee zaken van belang:

  • aantoonbaarheid;
  • beveiliging van de data.

De aantoonbaarheid is vaak niet het grootste probleem. Wat je moet kunnen aantonen, is dat je de stakeholders in kaart gebracht hebt. Daarbij gaat het niet alleen om de betrokkenen, maar ook om de partijen waarmee je persoonsgegevens deelt. Vervolgens moet je kunnen aantonen dat je een belangenafweging gemaakt hebt. Vergeet hierbij niet je eigenbelang, want ook dat is een grondslag voor het maken van inbreuk. Verder moet je transparant zijn over de keuzes die je hebt gemaakt en de maatregelen die je hebt getroffen om de risico’s te verminderen. Daarnaast moet je uiteraard kunnen laten zien hoe je de naleving van die maatregelen borgt. Tenslotte moet je nog kunnen aantonen, dat je bij veranderingen rekening gehouden hebt met de impact op de privacy en dat je leert van de fouten die je maakt op privacy gebied. Een uitgebreidere beschrijving vind je in het artikel ‘Je privacy in twee maanden op orde voor de AVG’.
Ook moet je zorgen, dat je beveiliging aantoonbaar op orde is. Het gaat hierbij dan vaak om de beveiliging van (grote) bestanden met persoonsgegevens. Niet voor niets heeft de AVG in het Engels de GDPR: de General Data Protection Regulation. De beveiliging moet je op orde hebben om te voorkomen dat bestanden op straat komen te liggen. Een betrokkene zal er immers nooit belang bij hebben, als dat om wat voor reden dan ook gebeurt.
Verder kun je je meestal beroepen op artikel 1. De andere artikelen zijn vooral bedoeld om de Googles, Amazons, Facebooks, WeChats en wat kleinere spelers van deze wereld aan te pakken, bedrijven die profielen van personen opstellen om daadwerkelijk inbreuk te kunnen maken op onze persoonlijke levenssfeer. Andere organisaties zullen niet zo snel doelwit worden van de Autoriteit Persoonsgegevens.

Transparantie en vertrouwen

De kern is dus dat je transparant bent over wat je doet met persoonsgegevens en dat je niet stiekem allerlei gegevens verzamelt, waarvoor je geen toestemming hebt gekregen. Wees open over wat je doet, ook al is dat niet helemaal in lijn met alle artikelen van de AVG. Veel belangrijker dan dat, is dat je belangen hebt afgewogen, daarop beleidskeuzes hebt gemaakt en daarover transparant bent. Ook bij incidenten. Dan krijg je ook vertrouwen van de betrokkenen. En daar gaat het om.
Zelf merken we dit ook. ZBC geeft op zijn homepage aan, dat het gegevens van een bezoeker mag verkopen aan partners, maar in de loop der jaren hebben al meer dan 150.000 bezoekers hun gegevens achter gelaten op onze kennisbank. En dat zonder ooit één klacht te hebben gekregen van een bezoeker. Kortom, vertrouwen is een groot goed en dat win je door transparant te zijn. De AVG is voor ons dan ook geen reden om iets te veranderen. Uiteraard hebben we nagelopen of we aantoonbaar voldoen aan de belangenafweging en transparantie over de keuzes, die we hebben gemaakt, maar we maken ons niet druk over allerlei zaken, die wel genoemd worden in de AVG, maar die voor ons of voor de bezoekers van onze kennisbank geen risico vormen. Kortom, we hebben aangetoond, dat onze huidige werkwijze voldoet aan de essentie van de AVG en op grond van artikel 1 is dit juridisch houdbaar. (Zie ook ‘Juridische onderbouwing voor een pragmatische aanpak van de AVG’.)

Legitimeren van je huidige werkwijze

Eigenlijk gaat het erom dat je je huidige werkwijze legitimeert. Dat is niet zo moeilijk. Daarvoor kun je de sjablonen gebruiken, die ZBC ontwikkeld heeft en die we delen met de cursisten in de ‘Cursus Privacy Officer in de praktijk’ en met klanten, waar we een coachingstraject uitvoeren. Dan resteert dus slechts nog de beveiliging van persoonsgegevens, om te voorkomen, dat bestanden op straat komen te liggen. Dat is niet nieuw en waarschijnlijk heb je dat allang geregeld. Alleen voor bewerkers zit hier een addertje onder het gras. Je moet ook kunnen aantonen dat je dit goed geregeld hebt. (Zie ook ‘Bewerker is kind van de rekening van de AVG’). En het probleem zit waarschijnlijk in die aantoonbaarheid.

Dan tenslotte nog even een heel praktisch punt. Denk je nu echt dat de AP op 26 mei bij juist jou op de stoep staat om te controleren of jouw organisatie wel aan alle artikelen van de AVG voldoet? De AP is een clubje van nog geen 100 man dat prioriteiten zal moeten stellen. Uiteraard zullen eerst die bedrijven worden afgewerkt, waar de AP echt een serieus punt heeft waarmee ze kan scoren in de landelijke media, waar een dikke boete opgelegd kan worden, die niet gelijk door de rechter van tafel geveegd wordt als buitenproportioneel. Als je kunt aantonen dat je privacy serieus neemt, dan is het onwaarschijnlijk dat de AP in 2018 langs komt bij jou. Het hebben van een plan of een contract met een externe privacy officer (FG) is dan waarschijnlijk voldoende om zelfs bij een incident de AP te sussen.

ZBC helpt organisaties die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 2 maart 2018


One Response to “De wereld vergaat niet op 25 mei door de AVG”

  1. Michiel van Oerle / Yucan.nl schreef:

    Beste Wiebe,
    Ik ben het beslist met je eens dat de wereld niet vergaat per 25 mei 2018. Ik vind het echter wel riskant om het gewicht door deze inzet toch te downgraden.
    – Er zijn beslist significante wijzigingen en toevoegingen en
    – De kans dat de AP bij je op de stoep staat is redelijk ‘random’ omdat dat ook afhankelijk is van een eventuele klacht aan jouw adres. AP is namelijk per 25 mei verplicht te handhaven en de eerste stap die zij daarbij inzetten zal het opvragen van jouw AVG / privacy-dossier zijn.
    – Het opzetten van dat dossier is voor de meeste organisaties een behoorlijke opgaaf.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *