Een jaar na invoering AVG: heb je hier wel aan gedacht?

De invoering van de GDPR, in Nederland beter bekend als AVG, heeft instellingen en bedrijven aardig wat kopzorgen opgeleverd. Een jaar na het in werking treden van de privacywet maken we de voorlopige balans op. ‘Er is nog steeds veel onduidelijk’, zegt privacy-advocaat Thomas van Essen.

Minister Dekker constateerde begin april dat er nog altijd sterke behoefte is aan voorlichting en uitleg over de praktische gevolgen van de uitvoering van de AVG (Algemene Verordening Persoonsgegevens). ‘Er is nog steeds veel onduidelijk’, beaamt mr. Thomas van Essen van SOLV Advocaten in Amsterdam. Van Essen is gespecialiseerd in IT en privacy.

‘Die onduidelijkheid komt ook omdat het wetgeving is met veel open normen, die door ondernemingen zelf ingevuld moeten worden. Wat wordt er bijvoorbeeld bedoeld met “Passende technische en organisatorische maatregelen”?’

AVG-nulmeting

AdvertorialDe toekomst van het nieuwe werken

Voorafgaand aan de invoering van de AVG voerde SOLV Advocaten in 2018 nog hoofdzakelijk nulmetingen bij bedrijven uit. Van Essen: ‘In eerste instantie wil men het aan de voorkant goed hebben geregeld. Nu krijgen wij meer specifieke vragen over de processen binnen organisaties.’

‘Bijvoorbeeld met betrekking tot inzagerecht: hoe moet er aan worden voldaan en op welke manier? Ander voorbeeld: er worden nieuwe functionaliteiten toegevoegd, waarbij een DPIA (Data Protection Impact Assessment oftewel gegevensbeschermingseffectbeoordeling) moet worden toegepast.’

Inzagerecht, verwerkings- en datalekregister

In het contact met bedrijven zonder eigen juridische afdeling vallen hem met name twee zaken op. ‘Organisaties worstelen nog met de manier waarop praktisch aan de AVG moet worden voldaan. Hoe voer je nou bijvoorbeeld een goed inzagerechtbeleid?’

‘Daarnaast moeten organisaties vaak nog tal van aanvullende zaken regelen, zoals een verwerkingsregister, een datalekregister en een overkoepelend privacybeleid. Overigens betreft dit voor een deel “achterstallig privacy-onderhoud”. Het inzagerecht bestond onder de voorloper van de AVG namelijk ook al.’

‘Niets is zo frustrerend om bij de afronding van een product nog even langs een jurist te gaan en dan te horen krijgen dat het niet kan.’

‘Bedrijven die veel met persoonsgegevens werken, zoals leveranciers van hosting- of cloud-oplossingen, hebben vrij snel op de nieuwe privacywet ingespeeld omdat ze vóór de AVG al veel met privacy bezig waren. Zij waren de eersten die bewerkersovereenkomsten om lieten zetten in verwerkersovereenkomsten’, aldus Van Essen.

Care Pack

De vraag bij wie de verantwoordelijkheid voor het beveiligen de privacygevoelige gegevens ligt, is moeilijker te bepalen wanneer het om apparatuur gaat. Denk aan situaties waarin een laptop moet worden gerepareerd of dat een harde schijf moet worden vervangen.

De meeste reparateurs houden in dat geval de kapotte onderdelen zelf. Maar als het bijvoorbeeld om een harde schijf gaat, kunnen daar nog mogelijk gevoelige data op staan. Een risico waar veel bedrijven niet over nadenken.

Bezitters van een HP-apparaat kunnen zich hiervoor indekken door gebruik te maken van Care Pack Defective media retention. Bij deze service krijg je de kapotte onderdelen altijd terug.

Privacy by design en privacy by default

Zelf noemt Van Essen het voorbeeld van een refurbished apparaat waar nog persoonsgegevens op worden aangetroffen. ‘In dat geval zou je de vraag kunnen stellen of het apparaat wel goed is “ingericht”. Dan heb je het over privacy by design of privacy by default. Ontwikkelaars moeten daar op aangesproken kunnen worden.’

Hetzelfde geldt ook voor softwareleveranciers, aldus Van Essen. ‘De vraag is of je die kunt aanspreken op het feit dat zij een applicatie hebben gebouwd die niet veilig genoeg is.’

AVG als pluspunt

Van Essen benadrukt dat privacy alleen werkt als iedereen er aan meedoet. ‘Je kunt wel allerlei protocollen schrijven, maar als niemand ernaar handelt, dan heb je er nog niets aan. De zwakste schakel zijn de werknemers. Bewustzijn binnen de organisatie is een belangrijk component.’

E-learning of een ‘privacy Monday’ en workshops noemt hij als mogelijke middelen om dat bewustzijn te versterken. ‘Mijn advies: zie privacywetgeving niet per definitie als een onoverkoombare hobbel. Je moet het voldoen aan de AVG als een pluspunt zien, want dit gaat niet meer weg! Schakel zo vroeg mogelijk juridische expertise in. Niets is zo frustrerend om bij de afronding van een product van een jurist te horen krijgen dat het niet kan.’

Behoefte aan een uitgebreider actieplan? Download de gratis whitepaper ‘De onmisbare gids voor GDPR-compliance‘. En lees ook: