AVG en bangmakerij

Afdrukken

BLOG, 1 september 2017

 

Op 14 augustus las ik een artikel in het Financieel Dagblad met de kop:”Bedrijven in paniek over Europese privacywet”.  Een behoorlijk negatief verhaal met daarin een aantal zaken die mijn tenen deden krullen. In mijn beleving bangmakerij van de bovenste plank. Vervelend genoeg is dat niet alleen het geval in dit artikel, maar zie ik dit steeds meer langskomen. Maar wat moet je als bedrijf dan wel verwachten? Onderstaand haal ik een paar onderwerpen aan uit het artikel en breng een nuance aan.

“Vanaf eind mei 2018 dreigen sancties van de Privacy Toezichthouders”

Een bedrijf loopt het risico dat wanneer geen maatregelen zijn genomen die passend zijn om persoonsgegevens te beschermen, een sanctie te krijgen van de Autoriteit Persoonsbescherming (AP). De AVG vereist namelijk dat passende organisatorische en technische maatregelen worden genomen. Dit was echter ook al verplicht bij de Wet Bescherming Persoonsgegevens. Wanneer een bedrijf of organisatie voldeed aan die wetgeving en daardoor compliant was, dan zie ik niet in waarom dat nu niet meer zo zou zijn. De vraag mag echter terecht zijn of de meeste organisaties compliant zijn geweest of nu zelfs zijn. In die gevallen zijn er nog stappen te nemen. De AP verwacht dat gedocumenteerd is welk beleid en maatregelen gebruikt worden.

“Zo hoeven middelgrote en kleine ondernemingen (minder dan 250 werknemers) geen ‘Data Protection Officer’ aan te stellen, tenzij hun kernactiviteiten de verwerking van gevoelige gegevens op grote schaal noodzakelijk maken.”

Waar de auteur deze conclusie op baseert weet ik niet. Er zijn drie situaties waarin een  DPO of Functionaris voor de Gegevensbescherming (FG) verplicht is.

  1. Overheden en publieke organisaties

Overheidsinstanties en publieke organisaties altijd verplicht om een DPO/FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een DPO/FG niet.

  1. Observatie


De verplichting om een DPO/FG aan te stellen geldt voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

  1. Bijzondere persoonsgegevens


Ten derde zijn organisaties verplicht een DPO/FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Indien een organisatie 250 medewerkers of meer heeft is er tevens een verplichting om een DPO/FG aan te stellen.

“ Wie nu nog moet beginnen is te laat”

Ook hierbij wordt voorgeschoteld dat er schijnbaar enorm veel gedaan moet worden als organisatie om te voldoen aan de bepalingen uit de AVG. Dat is afhankelijk van elke organisatie. Er wordt gesproken over een “Goede implementatie die zeker één of twee jaar” zou duren.

“Cultuuromslag noodzakelijk”

Met dit punt ben ik het eens. Het beschermen van persoonsgegevens heeft nooit de aandacht gekregen die het nodig heeft. De AVG verplicht, maar dat is niet perse een kwalijke zaak. Ook als medewerker in een organisatie verwacht je dat andere organisaties jouw persoonlijke gegevens zorgvuldig hanteert. Dat mag iedereen verwachten, dus ook de mensen waarvan uw de gegevens hanteert.

Om inzicht te geven wat u als organisatie nu echt moet regelen heb ik een whitepaper geschreven. Hierin komen de verschillende aspecten naar voren die vanuit de AVG nieuw zijn ten opzichte van de WBP. U kunt deze downloaden via de volgende link: http://dataprotection.support/DPS/index.php/download-3