ZBC Kennisbank

Help, ik ben te laat klaar voor de AVG

 

Natuurlijk is alle ophef over de AVG je niet ontgaan. En je weet ook al lang, dat je in mei 2018 klaar moet zijn. Maar ja, je had en hebt het nu eenmaal druk, druk, druk. En nu is het inmiddels wel heel kort dag. Ben je bang dat je het niet redt? Je hoeft niet in paniek te raken. Maar dan moet je het wel slim aanpakken.

De grootste fout die je nu kunt maken, is dat je in het probleem van de AVG duikt, dat je alle artikelen uit de AVG bestudeert en bekijkt wat je nog moet doen. Je krijgt dan gegarandeerd een actielijst waarvan de realisatie minstens een half jaar kost. Om toch op tijd klaar te zijn, zul je het maar half doen. En juist dan ben je kwetsbaar voor de AVG. Want zo dom is de Autoriteit Persoonsgegeven (AP) niet, dat ze dat niet doorzien. Doordat je het heel bewust maar half hebt gedaan, laad je de verdenking op je, dat je privacy niet serieus neemt. En dan bevat de AVG genoeg artikelen waaraan je niet voldoet en waarop je dus gepakt kunt worden.

Stap in je helikopter

In het probleem van de AVG duiken is dus niet de oplossing. Pak daarom je helikopter en neem even afstand van het probleem. De AVG heeft twee belangrijke doelstellingen:

  • inbreuk mogelijk maken op het grondrecht van de privacy; dat is beschreven in artikel 1 en het is om te voorkomen dat elk sociaal verkeer, elke samenwerking en elke dienstverlening onmogelijk worden;
  • voorkomen dat door misbruik van persoonsgegevens nodeloos inbreuk gemaakt wordt op de persoonlijke levenssfeer van betrokkenen of dat betrokkenen schade lijden door jouw toedoen.

In het artikel ‘Pragmatische benadering AVG en privacy’ gaan we dieper in op deze doelstellingen. Wanneer er sprake is van twee doelstellingen, dan betekent dat per definitie, dat hiertussen een afweging gemaakt moet worden. Je verwerkt persoonsgegevens, omdat dit voortvloeit uit de missie van je organisatie. Die missie is er meestal op gericht de betrokkenen voordeel te geven, ze minder last te bezorgen of hun gemak te dienen. Het risico bestaat wel altijd, dat de persoonsgegevens van de betrokkene onbevoegd worden ingezien. Maar dat valt dan uit te leggen. Dat is de ene kant. Uiteraard moet je dit allemaal wel vastleggen in je beleid of in je voorwaarden en je moet toestemming vragen aan betrokkenen voor het verwerken van hun persoonsgegevens.
De andere kant is, dat niemand er voordeel van heeft, als een compleet bestand met persoonsgegevens op straat komt te liggen. Als je dat laat gebeuren, dan ben je domweg nalatig geweest en heb je deze persoonsgegevens onvoldoende beveiligd. Als we bekijken welke privacy incidenten geleid hebben tot reputatieschade, dan gaat het vrijwel altijd over onvoldoende beveiliging.

Voorkomen beveiligingslek

Het is een bekend gegeven, dat honderd procent beveiliging niet bestaat. De AVG doet dan ook geen uitspraak over wat veilig genoeg is, maar beperkt zich tot de kreet, dat de beveiliging passend moet zijn. En wat passend is bepaal je uiteindelijk zelf. Wel is er natuurlijk de wet op de bestuurdersaansprakelijkheid, die in feite het volgende eist:

  • in kaart brengen van de stakeholders en de risico’s;
  • het maken van beleidskeuzes hoe om te gaan met de risico’s;
  • het treffen van maatregelen om de risico’s te reduceren;
  • transparantie naar de stakeholders over de keuzes en de maatregelen;
  • toezicht op de naleving van de maatregelen.

Wanneer je voldoet aan deze eisen, heb je hiermee de bestuurdersaansprakelijkheid afgedekt. Tegelijkertijd beschik je dan over een managementsysteem zoals dat ook is ingebakken in managementsystemen als de ISO 27001 of de NEN 7510. Wanneer je voor één van deze normen bent gecertificeerd, heb je daarmee aangetoond, dat je voldoet aan de AVG. Bovendien ben je dan af van het gezeur over bewerkersovereenkomsten, als je gegevens van derden verwerkt. (Zie ook ‘De gevolgen van de AVG 2018 voor bewerkers’.)

Datalek persoonsgegevens van een betrokkene

Laten we nu eerst eens een voorbeeld geven. De sociale werkplaatsen van vroeger vallen nu onder de participatiewet. Dat betekent, dat ze moeten bijdragen aan de participatie in werk van mensen met een afstand tot de arbeidsmarkt onder andere door detachering van deze mensen bij organisaties. Dat klinkt heel mooi. In de praktijk betekent dit echter, dat ze moeten leuren met CV’s van de betrokkenen, omdat deze anders niet aan de bak komen. Dat persoonsgegevens daarbij ook gezien worden door onbevoegden, valt niet te vermijden. Met de AVG in de hand kun je spreken van een aanzienlijke inbreuk op de privacy. Maar tegelijkertijd is dit in het belang van de organisatie en vooral ook van de betrokkenen, omdat alleen op deze wijze voorkomen kan worden, dat ze gekort worden op hun uitkering.
Zo zijn er nog veel meer voorbeelden te verzinnen, zeker voor dienstverlenende bedrijven en instellingen en dus waarschijnlijk ook voor jouw organisatie.
De AVG nu schrijft alleen voor hoe het proces in elkaar hoort zitten, waarmee je aantoont, dat je netjes omgaat met de privacy van de betrokkenen. De stappen in dit proces zijn:

  • in kaart brengen van de stakeholders en het maken van een belangenafweging (Zie ook ‘AVG is vooral een afweging en geen verplichting’).
  • het maken van beleidskeuzes hoe om te gaan met deze belangen;
  • het treffen van maatregelen om risico’s te reduceren;
  • transparantie naar de stakeholders over de keuzes en de maatregelen;
  • toezicht op de naleving van de maatregelen.

We zien dus hetzelfde rijtje terugkomen waarmee de aansprakelijkheid voor een beveiligingslek wordt afgedekt. Wanneer je namelijk een ontevreden stakeholder ziet als een bedrijfsrisico (en dat is het natuurlijk ook), dan zijn de lijstjes in feite identiek. (Zie ook ‘AVG is vooral een afweging en geen verplichting’).

Op tijd om aan de slag te gaan

Nu wordt het tijd, om je helikoptertje weer aan de grond te zetten. Het is nu niet meer nodig om in de diepte van de AVG te gaan wroeten, maar alleen nog om aantoonbaar te maken, dat je eigenlijk altijd al netjes bent omgegaan met de privacy van de betrokkenen en dat je dit ook in de toekomst wilt blijven doen. De stappen 1, 2 en 4 voert je uit. En vervolgens is er vast wel een goede reden te bedenken, waarom nog niet alle maatregelen uit stap 3 zijn geïmplementeerd of waarom je nog niet gecertificeerd bent. Zorg er echter wel voor dat het voornemen tot certificatie is vastgelegd en dat je een verbeterplan bewaakt.
In het artikel ‘Je privacy in twee maanden op orde voor de AVG’ wordt deze aanpak verder uitgewerkt.
Kortom, paniek voor de AVG is zelfs nu nog niet nodig, maar niets doen is zeker geen optie.

ZBC helpt organisaties die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 12 februari 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *