De eerste 5 maanden AVG: waar staan we?
dinsdag 6 november 2018De nieuwe Privacywet. Of, voor de iets meer ingewijden, de Algemene Verordening Gegevensbescherming (AVG), die van kracht geworden is op 25 mei 2018. Door organisaties is veel tijd en energie geïnvesteerd om op die datum de AVG geïmplementeerd te hebben. Dat is (nog) niet in alle gevallen gelukt. Vaak bleek de implementatie toch meer tijd te kosten dan vooraf ingeschat. - BMC
Incidentenmanagement
Daarbij is veel tijd gaan zitten in incidentele werkzaamheden. Bijvoorbeeld in het opstellen van een Register van Verwerkingen, het aanpassen van de privacyverklaring op de website, het (alsnog) afsluiten van verwerkersovereenkomsten en het behandelen van verzoeken van betrokkenen tot inzage of verwijdering van hun gegevens.
Dit zijn stuk voor stuk belangrijke elementen uit de AVG, maar, zoals gezegd, ze zijn wel incidenteel van aard. De datum 25 mei 2018 heeft veel druk gezet op de implementatie, maar inmiddels is die dag gepasseerd. Sindsdien zijn er weer vele andere actuele ontwikkelingen die binnen een organisatie de aandacht vragen. Dat is begrijpelijk, maar het roept wel de vraag op hoe bereikt kan worden dat de omgang met persoonsgegevens meer is dan alleen incidentenmanagement.
Inrichting en beheer
Dat kan door het beheer van informatiemanagement en persoonsgegevens goed in te richten in de organisatie. Het Register van Verwerkingen heeft veel inzicht gegeven in de processen binnen de organisatie waar persoonsgegevens worden verwerkt. Die processen zijn echter niet statisch en zijn voortdurend aan veranderingen onderhevig. Belangrijk is dus dat die veranderingen ook leiden tot actualisering van het Register van Verwerkingen.
Ook na 25 mei 2018 worden nieuwe contracten afgesloten voor processen waarin persoonsgegevens worden verwerkt. Dan is het van belang dat tijdens de onderhandelingen over dat contract nu ook wordt onderhandeld over de verwerkersovereenkomst. En dat inzageverzoeken als zodanig worden herkend en tijdig worden afgehandeld.
Hoe?
Dat vraagt er dus om dat processen worden ingericht. Dit kan bijvoorbeeld als onderdeel van het inkoopproces als het gaat om verwerkersovereenkomsten, maar ook wat betreft het actualiseren van het register. Voor het behandelen van inzage- en verwijderingsverzoeken kan een interne procedure worden vastgesteld. Extern kan dit gefaciliteerd worden door webformulieren, bijvoorbeeld via DigiD. Bij voorstellen voor bestuur of management kan standaard een afweging worden opgenomen of het voorstel effect heeft op privacy. Belangrijk is ook dat binnen afdelingen en teams het aandachtsgebied privacy wordt benoemd en belegd. Bewustwording dus. Daarmee is het onderwerp belegd daar waar het meest frequent met persoonsgegevens wordt gewerkt.
Maar om zorgvuldig met persoonsgegevens te kunnen omgaan is het, als onderdeel van bewustwording, ook nodig dat je weet waarom privacy belangrijk is, je daarvan enige basiskennis hebt en weet wat van je wordt verwacht. Daarom is het belangrijk om te werken aan bewustwording en kennis via sessies, e-learning of stukjes in een nieuwsbrief. Handvatten voor veilig omgaan met informatie (of gedragsregels) helpen om helder te houden wat van eenieder wordt verwacht.
Onderzoek door de AP
Het inrichten van processen om de naleving van de AVG te bevorderen is in lijn met de uitgangspunten van de AVG. Je moet de naleving van de AVG kunnen aantonen. Zeggen dat je de wet naleeft is dus niet meer voldoende. Dat de toezichthouder dit serieus neemt blijkt ook uit recente onderzoeken van de Autoriteit Persoonsgegevens (AP). Begin juni communiceerde de AP over het onderzoek naar de aanstelling van de verplichte Functionaris voor de Gegevensbescherming (FG), eind juni over de behandeling van klachten, in juli over een onderzoek naar het Register van Verwerkingen in de zorg en in augustus wederom over de verplichte aanstelling van een FG. Tot slot is de AP in september een onderzoek gestart naar de registratie van beveiligingsincidenten en datalekken.
Er zijn dus meerdere redenen om de naleving van de AVG goed te regelen binnen uw organisatie. Het is niet alleen zonde van de energie om het te laten bij een incidentele aanpak, maar ook de AP controleert nadrukkelijk of u de AVG aantoonbaar kunt naleven. En niet in de laatste plaats is het van belang dat de betrokkene er vertrouwen in kan hebben dat er zorgvuldig met zijn of haar gegevens wordt omgegaan.
Waar staan we?
Het is dus van belang dat de naleving van de AVG kan worden aangetoond. Dit vraagt dat binnen de organisatie wordt nagedacht over de wijze waarop dit structureel kan worden ingeregeld. Uit de onderzoeken van de AP is af te leiden wat in ieder geval moet worden georganiseerd. Maar er zijn meer verplichtingen. Bijvoorbeeld het beoordelen of een Data Protection Impact Assessment (DPIA) verplicht is en het zo nodig uitvoeren daarvan. Ook dit moet kunnen worden aangetoond. Om vooruit te komen is het dus van belang om deze verplichtingen te inventariseren om te weten waar de organisatie staat. Huishouding op orde dus, door procesinrichting en bewustwording.
Wilt u meer weten welke verplichtingen er zijn of wilt u hulp bij de uitvoering daarvan?
Neem dan contact op met onze adviseurs. Zij helpen u graag verder.
ir. Julius Duijts CISSP CIPP/E senior adviseur julius.duijts@bmc.nl 06 – 29 52 55 31 | mr. Alex Commandeur senior adviseur alex.commandeur@bmc.nl 06 – 82 12 03 17 | drs. Willem de Vries senior adviseur willem.de.vries@bmc.nl 06 – 51 62 97 80 |