Op werkdagen voor 23:00 besteld, morgen in huis Gratis verzending vanaf €20
Koen Versmissen: ‘Stop dataprotectie meteen in het systeemontwerp’ interview
21 juli 2017 | Pierre Pieterse

Koen Versmissen maakt samen met twee collega’s van Privacy Management Partners in Grip op de AVG beknopt duidelijk wat er moet gebeuren om volgend jaar zomer te voldoen aan de eisen van de nieuwe privacywetgeving.

Waar staat AVG voor? Aardappelen, Vlees en Groenten?
Ook. Maar wij bedoelen de Algemene Verordening Gegevensbescherming. Dat is een Europese privacywet die op 28 mei 2018 gaat gelden voor iedereen die persoonsgegevens verwerkt. En alle ondernemingen doen dat.

Waarom is grip nodig?
Omdat er een paar belangrijke vernieuwingen in staan ten opzichte van de huidige privacywetgeving. Zo staat er niet alleen in onder welke voorwaarden je persoonsgegevens mag verwerken. De wet stelt ook eisen aan de organisatie, die effectieve maatregelen moet nemen om goed om te gaan met persoonsgegevens. De effectiviteit van die maatregelen moet je kunnen aantonen.

Aan wat voor maatregelen moeten we dan denken?
Dat kan van alles zijn. Je moet bijvoorbeeld je medewerkers voldoende trainen, zodat zij netjes omgaan met persoonsgegevens. Je moet vaststellen wie waarvoor verantwoordelijk is en eventueel een Functionaris Gegevensbescherming aanstellen. Dat is een interne toezichthouder, die ook over privacy adviseert. Het mkb moet alleen zo’n functionaris aanstellen als het op grote schaal bijzondere gegevens verwerkt. Dat zijn bijvoorbeeld gegevens over gezondheid, strafrechtelijke antecedenten en politieke, religieuze en seksuele voorkeuren. Maar het moet ook als je het gedrag van personen monitort door bijvoorbeeld tracking cookies te plaatsen. Dat mag nu met toestemming van de betrokken persoon, maar die regels gaan veranderen omdat ze niet werken.

Is gegevensbescherming nu echt een directie-onderwerp geworden?
Dat was het in zekere zin altijd al. Het management blijft verantwoordelijk voor de verwerking van de gegevens. Grote bedrijven krijgen serieus met de AVG te maken, maar kleinere bedrijven ook. Als je gegevens van werknemers en klanten verwerkt, val je er ook onder. Je moet alle processen waarbij persoonsgegevens worden verwerkt inventariseren anders is het onmogelijk om zorgvuldig persoonsgegevens te verwerken Dan kun je niet aan klanten en relaties uitleggen dat je het allemaal volgens de regels doet.

Brengt de AVG ook inhoudelijke veranderingen?
De essentie blijft hetzelfde. Wel worden sommige regels aangescherpt en zijn er twee echt nieuwe dingen: het recht om jouw gegevens mee te nemen en het recht op vergetelheid. Als organisatie moet je ervoor zorgen dat de betrokken persoon die rechten kan effectueren. Het meeneemrecht houdt bijvoorbeeld in dat je bij een online fotodienst als Flickr of Picasa kunt vragen om al je foto’s in zo’n format terug te geven dat je die bij een andere dienst kunt onderbrengen. Je kunt zelfs aangeven dat zij die foto’s moeten doorsturen als je overstapt. Dit heeft vooral gevolgen voor bijvoorbeeld mobiele telecomproviders en verzekeringsmaatschappijen. Maar ook app bouwers die bijvoorbeeld jouw online agenda beheren, moeten hiermee rekening houden.

En dat recht op vergetelheid, wat houdt dat in? \
Je hebt nu al het recht om aan een organisatie te vragen jouw gegevens te verwijderen. Het recht op vergetelheid slaat meer op gegevens die te vinden zijn op het internet. Want als de bron jouw gegevens verwijdert, kunnen er nog kopieën of links rondzwerven die via zoekmachines te vinden zijn. De bron moet dan alle redelijke inspanningen leveren om jouw gegevens onvindbaar te maken. Bijvoorbeeld als je spijt krijgt van een bepaalde reactie die je ergens heb geplaatst. Of een tekst over iemand die is veroordeeld, maar later is vrijgesproken.

De beste gegevensbescherming is dus eigenlijk geen persoonsgegevens verwerken?
Volgens de AVG moet je zo min mogelijk persoonsgegevens verwerken en dus alleen die gegevens verzamelen of bewaren die je nodig hebt. Dat betekent dat je bij het ontwerpen van een systeem al moet nadenken over privacy. Je ziet nogal eens dat organisaties pas vlak voor de deadline denken: oh ja, we moeten ook nog iets met privacy. Vaak kun je dat dan niet meer repareren of alleen met heel veel moeite. Je moet er dus van tevoren over nadenken wat je nodig hebt en waar je de gegevens neerzet.

Waar je je gegevens neerzet?
Als je gegevens opslaat in de cloud moet je weten dat de server in een land staat dat hetzelfde beschermingsniveau biedt als een EU-lidstaat. En als je persoonsgegevens laat verwerken door een ander bedrijf moet je zeker weten dat het voldoet aan de privacy-eisen. Andersom zullen bedrijven die hun persoonsgegevens door jou laten verwerken ook willen weten of de bescherming van persoonsgegevens bij jou is gewaarborgd.

U bent privacy-adviseur voor de overheid en bedrijven. Welke vraag krijgt u het meest?
Help mij! Er zijn veel organisaties die wakker worden nu de deadline van de privacywet nadert en ons vragen: wat moet ik allemaal doen? Er zijn er nogal wat die behoorlijk weinig hebben gedaan aan privacybescherming, terwijl de Wet bescherming persoonsgegevens al sinds 2001 bestaat. Je moet dus niet alleen kijken naar de nieuwe regels.

En als je onvoldoende doet, welke haan kraait daar dan naar?
Meerdere. Om te beginnen is er de mogelijkheid van reputatieschade. Je wilt echt niet in de krant staan, omdat je niet goed omgaat met de gegevens van jouw klanten, werknemers of burgers. Maar ook de partijen met wie je zaken doet, willen weten of je de zaakjes wel op orde hebt. En dan heb je natuurlijk nog de Autoriteit Persoonsgegevens. Die kan niet alleen forse boetes opleggen, maar kan je ook dwingen om een bepaalde verwerking geheel of gedeeltelijk te staken.

En dat probeert u te voorkomen met dit boek?
Ja. We willen voor niet-juristen op een laagdrempelige manier duidelijk maken wat de verordening vereist. De doelgroep bestaat uit mensen die een belangrijke rol hebben bij de gegevensverwerking. Maar we hopen ook dat leidinggevenden zich erin verdiepen. Voor managers is 100 bladzijden best veel. Maar als je wat bladert en snuffelt dan heb je in een paar bladzijden de essentie van de verordening wel te pakken. En met het plan van aanpak en het bijbehorende werkboek [Grip op de AVG - Werkboek – red.] kun je vervolgens meteen aan de slag.


Grip op de AVG preview
22 mei 2017 | Koen Versmissen

Er waait een stevige nieuwe privacywind door Europa, en dus ook door Nederland. En u beseft het misschien nog niet, maar die wind blaast ook uw kant op!

Over een jaar is de storm op zijn hoogtepunt. In Grip op de AVG leggen Koen Versmissen, Jeroen Terstegge en Natalja Krijgsman uit wat er allemaal nieuw is, waarom u eigenlijk te laat bent als u niet al bezig bent, maar ook waarom dat geen ramp is als u maar morgen aan de slag gaat. En dat allemaal gelardeerd met voorbeelden, en op zo’n manier dat het ook te begrijpen is voor wie nog niet of nauwelijks over privacykennis beschikt. Een preview.

Ons boek gaat over ‘privacy’, of liever: het netjes omgaan met gegevens over personen. Daar heeft u ook mee te maken! Want elke organisatie verwerkt persoonsgegevens, al is het maar van de eigen werknemers. In de huidige informatiesamenleving is het echter veel vaker zo dat persoonsgegevens tot in de haarvaten van een organisatie te vinden zijn: diensten verlenen en producten verkopen aan klanten, burgers of patiënten, direct marketing, gebruik van sociale media, fraudebestrijding, cameratoezicht, toegangspasjes, arbo en verzuim, analytics of clouddiensten, allemaal zijn het processen waar persoonsgegevens ingaan, gegenereerd worden en uitgaan.

De AVG (Algemene Verordening Gegevensbescherming) is vanaf 25 mei 2018 de Europese privacywet. Die komt in Nederland in plaats van de huidige Wet Bescherming Persoonsgegevens. De meeste wijzigingen die de AVG met zich meebrengt zijn uitbreidingen of aanscherpingen van wat er eerder was. Als het gaat om regels voor de gegevensverwerking zelf zijn er maar een paar echt nieuwe zaken, met name het recht op dataportabiliteit en het recht om vergeten te worden.

In een ander opzicht is de AVG echter wel geheel nieuw, en laat zij een frisse wind waaien op privacygebied. Het gaat dan niet om de regels voor de gegevensverwerking zelf, maar om alles wat een gegevensverwerkende organisatie moet doen om ervoor te zorgen dat zij het naleven van die regels structureel waarborgt, en daarover ook rekenschap kan afleggen. Dat goed inregelen gaat van vrijwel alle gegevensverwerkende organisaties ten minste een grote inspanning vergen, en vaak zelfs een cultuuromslag.

Met nog ruim een jaar te gaan is het al bijna een onmogelijke opgave om dat allemaal op tijd klaar te hebben. De kans is gelukkig niet zo heel groot dat de toezichthouder, de Autoriteit Persoonsgegevens, meteen in juni volgend jaar enorme boetes gaat uitdelen. Zolang u ten minste kunt aantonen dat u er wel al een tijd serieus mee bezig bent en duidelijke stappen in de goede richting gezet heeft. In ons boek leggen we niet alleen precies uit wat de AVG van u verlangt, maar schotelen we u ook een concrete aanpak voor om daarmee aan de slag te gaan.

Als u dat doet, dan is het van groot belang dat u het doel van de AVG niet uit het oog verliest doordat u krampachtig haar regels probeert te volgen. Waar het uiteindelijk om gaat is niet de letter, maar de bedoeling van de wet: het vinden van een balans tussen enerzijds het waarborgen van het recht op privacy en het recht op gegevensbescherming, en anderzijds het mogelijk maken van verwerking van persoonsgegevens waar die nodig is in een informatiesamenleving. Wilt u optimaal gebruik maken van de mogelijkheden om persoonsgegevens verwerken, dan moet u niet alleen de AVG naleven, maar ook organiseren dat u die compliance structureel goed op orde heeft, én kunnen aantonen dat u dat gedaan heeft. Privacymanagement gaat dus over veel meer dan het verwerken van persoonsgegevens conform de regels van de AVG.

Dr. Koen Versmissen CIPP/E is partner bij Privacy Management Partners. Hij werkte bijna negen jaar voor de Autoriteit Persoonsgegevens (AP), in verschillende beleids- en leidinggevende functies. Ook heeft hij acht jaar ervaring als privacyadviseur en -trainer. Voor de AP schreef hij onder meer de rapporten Sleutels van Vertrouwen en Elektronische overheid en privacy. Koen is een gepromoveerd wiskundige en informaticus. Hij is een van de auteurs van Grip op de AVG.

Koen Versmissen, Jeroen Terstegge, Natalja Krijgsman
Grip op de AVG (GDPR)

Populaire producten

    Personen

      Trefwoorden