Bij overheden en bedrijfsleven is lichte paniek merkbaar, nu duidelijk wordt dat iedereen op 25 mei 2018 echt moet voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wie met de wetgeving bezig is weet het al langer: veel organisaties zijn niet klaar en zullen dat ook niet tijdig lukken. Er komt nogal wat op de organisaties af.
De komst van de nieuwe regelgeving maakt diepe indruk in bestuurskamers. Dat komt niet eens zozeer door de vele nieuwe eisen, maar vooral de boetes die toezichthouders kunnen opleggen maken indruk. Een compliance-probleem heeft dan maximaal een prijskaartje van 20 miljoen euro. Tenzij de organisatie zodanig veel omzet heeft dat vier procent van de wereldwijde omzet, tot een hogere boete optelt. En voor de goede orde: zo’n boete geldt dan uiteraard per overtreding.
Achterstallig onderhoud
De dreiging van zo’n ingreep moet natuurlijk ook indruk maken: ‘er zullen in Nederland en daarbuiten gegarandeerd boetes worden opgelegd’. Toch zijn er maar weinig bestuurders die nu vol overtuiging kunnen stellen dat hun organisatie voldoet aan de komende wetgeving. Sterker nog, zij hebben hun handen nog altijd meer dan vol aan het op orde krijgen van veel achterstallig onderhoud. Aan veel ‘schokkende’ eisen moet nu ook worden voldaan. Veel van de eisen uit de General Data Protection Regulation (GDPR), zoals de AVG internationaal bekend staat, gelden nu al. Zo was beveiliging van persoonsgegevens al verplicht onder de Wbp en blijft dat ook. Maar in de nieuwe verordening staan enkele ‘stevige’ nieuwe eisen.
Alleen al de uitbraak van het gijzelvirus WannaCry heeft weer eens fijntjes aangetoond dat veel organisaties hun beveiliging niet op orde hebben. Wie namelijk beschikt over de laatste patches kan dan misschien op één enkele machine getroffen worden, maar verdere verspreiding is niet mogelijk. De inzet van een goede antimalware-oplossing zorgt ervoor dat zelfs na een infectie het virus geen schade kan aanrichten.
Ook is het sluiten van een overeenkomst met een leverancier die gegevens voor de organisatie verwerkt, een bewerkersovereenkomst, nu al verplicht. Toch blijkt vaak dat dit soort juridische handelingen met cloud-leveranciers, softwaredienstverleners en andere partijen bij veel organisaties volledig ontbreken. Ook de eis dat een organisatie duidelijk moet kunnen kunnen aangeven aan de betrokkenen (de persoon die het betreft) welke gegevens er nu precies verwerkt worden en waarom dat zo is, blijkt in de praktijk te rammelen. Net als de bijbehorende toestemming. Er is dan ook veel achterstallig onderhoud.
Hogere versnelling
Het probleem is alleen dat met de komst van de AVG het wegwerken van achterstallig onderhoud niet meer voldoet. De wetgever legt de lat vanaf 25 mei 2018 fors hoger. Zodra er persoonsgegevens bij zijn betrokken, speelt privacy in de hele informatie-lifecycle een centrale rol. Dat is niet iets om alleen te doen. Het nemen van de juiste technische en organisatorische maatregelen moet met documenten worden onderbouwd.
Onder bepaalde omstandigheden moet er een Privacy Impact Assessment worden uitgevoerd om daarmee privacy-risico’s voor betrokken in kaart te brengen. Dat is bijvoorbeeld het geval als een organisatie persoonsgegevens op grote schaal evalueert, zoals bij profiling of big databewerkingen. Ook is dat een vereiste wanneer mensen op grote schaal in de publieke ruimte worden gevolgd of wanneer op grote schaal op andere wijzen persoonsgegevens verwerkt. Eigenlijk in alle gevallen waar het risico voor privacy groot is. Daarbij moeten nieuw te ontwikkelen applicaties voldoen aan de eisen van privacy-by-design en privacy-by-default. Dit houdt in dat de mogelijke risico’s al tijdens de ontwerpfase in kaart moeten worden gebracht en getackeld.
In de software moet volgens het eisenpakket van de AVG sowieso veel nieuwe functionaliteit komen. Zo vraagt de wetgever om snel te kunnen ophoesten welke gegevens er geregistreerd zijn rond een persoon en wie wanneer en waarom deze gegevens heeft ingezien. Dat laatste zal voor veel systemen nog een hele toer zijn om te regelen, omdat zulke logboeken vaak nog ontbreken. Ook kan de betrokkene in veel gevallen eisen dat een heel dossier wordt overgedragen naar een andere speler en kan het ook gebeuren dat uw organisatie dus van concullega’s dossiers krijgt toegestuurd. Deze moeten dan dus wel verwerkt kunnen worden.
Meer verplichtingen
Onder bepaalde omstandigheden kan het verplicht zijn om een Functionaris voor de Gegevensbescherming (FG) te hebben. Deze interne toezichthouder kijkt of uw organisatie volgens de regels werkt en geeft advies om aan de regels te voldoen. Zo’n FG is bijvoorbeeld een verplichting wanneer de organisatie een overheid is en er grote hoeveelheden bijzondere persoonsgegevens worden verwerkt, of als het profileren van mensen op grote schaal tot de kernactiviteiten behoort. Vooral voor kleinere organisaties kan dit een extra last zijn. Inmiddels bespelen parttime FG’s al die markt.
Voor mensen komt er het recht om vergeten te worden. Onder bepaalde omstandigheden mogen de betrokkenen eisen dat alle gegevens uit de systemen van een organisatie worden gewist. Zo’n recht bestond reeds op basis van een eerdere Europese uitspraak, maar deze komt nu daadwerkelijk in de wetgeving terug. Voor sommige systemen zal het lastig zijn om dit goed te regelen, omdat het wissen van gegevens niet in het model is meegenomen.
Met de komst van nieuwe privacyregels verandert er één spelregel ingrijpend: de wetgever geeft een signaal af (zonder het met zoveel woorden te zeggen) dat de persoonsgegevens min of meer eigendom zijn van de betrokkene. Dat betekent dat met de persoonsgegevens op een verantwoordelijke manier moet worden omgegaan, dat een organisatie zijn bemoeienis daarmee moet kunnen uitleggen en ook nog eens kunnen rechtvaardigen. ICT-organisaties moet heel snel groeien en soms volwassener worden. De tijd om dat goed te regelen dringt, want het laatste jaar tot 25 mei 2018 is inmiddels al ingegaan.
