Na een lange aanloopperiode wordt vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) gehandhaafd. Bij menig organisatie kijkt men met angst en beven naar de nieuwe situatie. Veroorzaker van de onrust zijn de verkoopgeruchten waarmee bedrijven en instellingen worden bestookt. Verhalen over torenhoge boetes en de suggestie dat de Autoriteit Persoonsgegevens (AP) na 25 mei direct hard ingrijpt.
Om iedereen gerust te stellen: deze geruchten kloppen niet. Ten eerste zijn de boetes een ‘last resort’, een noodgreep voor de allerergste gevallen. De AP wil organisaties eerst met andere, zachtere maatregelen tot actie bewegen. Denk aan het geven van een waarschuwing of het opleggen van een tijdelijk verbod om persoonsgegevens te verwerken. Dan het tweede punt: gelooft u werkelijk dat de AP op 25 mei meteen bij uw organisatie op de stoep staat om de verwerkingsregisters op te eisen? Dat er opeens een massaclaim tegen uw organisatie wordt ingediend? Haal dan rustig adem, zo’n vaart zal het niet lopen.
Geleidelijke verandering
De handhaving van de AVG zet een geleidelijke verandering in gang, daar zijn wij bij DBHeroes van overtuigd. Dat begint met een toenemend bewustzijn − individuen gaan ontdekken wat hun rechten zijn en hoe ze die kunnen uitoefenen. Daarnaast zal via rechtspraak steeds duidelijker worden wat wel en niet mag. Ook zullen er hoogstwaarschijnlijk certificeringen worden uitgebracht die organisaties dwingen om zich op z’n minst over de AVG te buigen. Bovendien zullen de verwachtingen bij klanten, gebruikers en consumenten toenemen. Steeds vaker zullen zij van organisaties eisen dat er zorgvuldig met hun persoonlijke gegevens wordt omgesprongen.
Begrijp ons niet verkeerd: de AVG moet door organisaties zeker serieus worden genomen. Dit artikel is allerminst een oproep tot lichtzinnigheid. Zo geloven wij niet in de bewering dat een organisatie met de aanschaf van een enkele tool aan de eisen van de AVG voldoet. Of dat ‘als de documenten in orde zijn’, het wel goed zit.
Menselijk handelen
Waar staat DBHeroes dan wel voor? Daarvoor moeten we eerst terug naar de basis van de AVG. Het doel van de verordening is vooral dat organisaties bewuster met hun data omspringen. Bedrijven en instellingen moeten weten wat ze met hun data doen, hoe ze dat doen en wie bij de gegevens kan. Menselijk handelen speelt, in tijden van digitalisering, nog altijd een cruciale rol bij vrijwel alle datafacetten. Dat blijkt ook uit een recent artikel van de AP. Die instantie meldde dat bijna de helft van de datalekken in 2017 werd veroorzaakt door het verkeerd afgeven of versturen van gegevens[1].
De AVG dwingt organisaties onder andere om meer controle over het menselijk handelen en daarmee hun data te krijgen. In het kort zijn dit de stappen die gezet moeten worden om aan de verordening te voldoen[2]:
1) Inventariseer welke persoonsgegevens zich binnen de organisatie bevinden en waar die zich bevinden. Kijk ook wie er toegang tot de data heeft.
2) Stel vast op welke juridische grond de persoonsgegevens worden verwerkt en of de gegevens ook over de grens van de Europees Economische Ruimte (EER) gaan.
3) Zet een Data Governance-structuur op.
4) Voer een Data Protection Impact Assessments (DPIA) uit en implementeer Privacy by Design en Privacy by Default.
5) Stel een dataretentie-beleid op en een beleid voor het bewaren en beveiligen van data.
6) Garandeer transparante informatie. Klanten, gebruikers en consumenten moeten weten wat er met hun persoonlijke gegevens gebeurt.
7) Zorg ervoor dat individuen hun rechten kunnen uitoefenen.
8) Wees voorbereid op incidenten en zorg voor een procedure in geval van een datalek.
9) Stel een leveranciersbeleid op.
10) Zorg voor een communicatiestructuur (een contactpersoon) met de leidende autoriteit. In Nederland zal de leidende autoriteit veelal de AP zijn. In een aantal gevallen is een Functionaris voor de Gegevensbescherming (FG) verplicht. Dat is dan ook de contactpersoon van de AP.
Data Governance
Van de bovengenoemde stappen, is het opzetten van een Data Governance-structuur in onze ogen een van de belangrijkste. Met het implementeren van zo’n structuur legt een organisatie tot in de kleinste details vast over welke data zij beschikt en hoe de dataprocessen eruit zien. Bovendien wordt er iemand aangewezen die voor de data verantwoordelijk is. Door zo nauwkeurig te werk te gaan, weet iedereen binnen de organisatie welke informatie bewaard blijft (en hoe lang), waar ze die informatie kunnen vinden en wat ermee gebeurt. Dat klinkt als… inderdaad, de basis van de AVG.
Hoe zet je een Data Governance-structuur op? Ten eerste moet iedereen binnen de organisatie dezelfde ‘taal’ spreken. Het formuleren van definities voor de verschillende begrippen draagt hiertoe bij. Verstaat iedereen hetzelfde onder een ‘prospect’ of ‘lead’? Worden statussen van producten door iedereen op dezelfde manier gehanteerd? Wanneer iedereen dezelfde taal spreekt, worden rapportages eenduidig geïnterpreteerd.
Een tweede voorwaarde is het documenteren en borgen van alle processen. Een veelgehoord argument is dat het vastleggen van processen leidt tot een stugge organisatie waarin uitzonderingen en flexibiliteit niet meer mogelijk zijn. Wij draaien het liever om: door de processen goed vast te leggen, wordt een organisatie juist flexibeler. Als de situatie daarom vraagt, kunnen er met gemak stappen worden overgeslagen. In een later stadium kunnen de overgeslagen werkzaamheden alsnog worden uitgevoerd.
Een bijkomend voordeel van het implementeren van een Data Governance-structuur is de toenemende betrokkenheid van medewerkers. Iedereen binnen de organisatie weet waar de data voor gebruikt wordt en wat er met de data moet gebeuren. Een medewerker die gegevens aan het verwerken is, zal daardoor eerder het nut van zijn of haar werkzaamheden inzien. Nieuwe medewerkers kunnen bovendien makkelijker wegwijs worden gemaakt en het is eenvoudiger om te controleren of aan wet- en regelgeving wordt voldaan.
Tot slot leg je als organisatie met het opzetten van een Data Governance-structuur meteen vast hoe je je data kloppend en up-to-date houdt. Hierdoor heb je minder last van achterhaalde data en worden rapportages betrouwbaarder. Het up-to-date houden van de gegevens is overigens ook een eis van de AVG.
Neem voor vragen of advies contact op met mr. Lotte van Lith: lotte.vanlith@dbheroes.eu, telefoon 088 888 6060.
[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/10000-datalekken-gemeld-2017
[2] https://iapp.org/resources/article/top-10-operational-responses-to-the-gdpr/
