>> Dit artikel verscheen eerder op BigDataHub Blog
onder Iedereen is AVG expert
Iedereen is AVG expert. Althans, zo lijkt het soms. Nu de Algemene Verordering Gegevensbescherming (AVG) een tijd van kracht is kunnen we de balans wel opmaken: we hebben onze klanten vooruit mogen helpen met het voldoen aan de AVG, vragen van hun klanten mogen beantwoorden en talloze contracten en overeenkomsten mogen reviewen die over privacy en data gaan. Tijd voor een terugblik en een paar tips, die heel handig zijn, maar niet iedereen lijkt te weten!
De AVG is onzin
Toen de deadline voor het ingaan van de AVG naderde liep de spanning hier en daar op. Sommige organisaties pakten het serieus op en startten projecten om hun ‘AVG-beleid’ op orde te maken. Andere organisaties keken de kat wat meer uit de boom en wachten liever af wat de rest ging doen. Overal ontstonden adviesdiensten en -bureaus die je graag met raad en daad bijstonden in het AVG-verhaal. Toch stond niet iedereen lang stil bij de feitelijke reden dat deze wetgeving ingetreden is, of zelfs noodzakelijk.
Alle burgers in de EU hebben gegevens, die door organisaties, van overheden tot bedrijven, worden bewaard en verzameld. Dit noemen we je data. Deze data kan bestaan uit je adresgegevens, gegevens over je aankopen, voorkeuren voor bepaald producten of diensten en gegevens over je gedrag. De wereld van websites en apps houden alles over je bij en combineren dit tot een soort totaalplaatje – een klantbeeld of profiel. Deze set aan data vertelt heel veel over je en kan zelfs gebruikt worden om te voorspellen waar je behoefte aan kunt hebben of om je behoefte te sturen. Ook het verzamelen van deze data om het te kunnen verkopen is een levendige handel. Vooral Amerikaanse technologie bedrijven bleken erg goed in het verzamelen van deze data van mensen: denk aan Facebook, Google en Microsoft. Maar ook honderden andere kleinere bedrijven verzamelen en verzamelen.
De Europese Commissie (EC) moet met lede ogen aanzien hoe data van inwoners wordt verzameld, verhandeld en wordt gebruikt om bijvoorbeeld nepnieuws op te richten. Verkiezingsuitslagen zoals de Brexit keuze en de opkomst van diverse politieke partijen wordt deels gewijd aan het slim bestoken van een bepaalde groep mensen met een bepaalde boodschap – die helaas vaker niet waar dan wel waar is en gestuurd wordt vanuit buiten de EU.
Dit soort ontwikkelingen noopten de EC ertoe om wetgeving te creëren die mensen een aantal rechten geeft over hun eigen data en data die over ze verzameld wordt. Dit is samengevat de AVG. En om eerlijk te zijn, hoe lastig het soms ook is om rekening mee te houden: de AVG is géén onzin, maar een basis voorwaarde voor elke EU burger. Inzicht in eigen data, het recht om vergeten te worden en vooraf toestemming verlenen voor bedrijven je data gaan verwerken: het is eigenlijk heel logisch.
De AVG valt niet toe te passen
Als je vanuit een startpunt van ‘alles kan en alles mag’ in ene in een situatie komt waarom je netjes om moet gaan met klantdata dan zou de titel van deze paragraaf begrijpelijk zijn. In Nederland waren we echter al voor de komst van de AVG beschermd door de Wet Bescherming Persoonsgegevens. Hoewel de AVG wat verder gaat, bood dit voor een deel al bescherming tegen het pauzeloos verzamelen en gebruiken van data. Ook andere wetten, bijvoorbeeld die spammen verbiedt, waren al actief.
Daarnaast biedt de AVG diverse handvatten wat je moet doen en heeft de in Nederland met toezicht belastte organisatie Autoriteit Persoonsgegevens een scala aan tools en hulpmiddelen beschikbaar gesteld om je er doorheen te loodsen. Het was al snel niet meer dan een flink stappenplan voor je ‘voldeed aan de AVG’. Nu wisselt elke organisatie geregeld van allerlei software en leveranciers en moet je daar nu dus elke keer iets mee afspreken over het verzamelen en gebruiken van data en zul je dit in je privacy policy kenbaar moeten maken. Oftewel: eenmalig opzetten, altijd blijven onderhouden.
Dus ja de AVG valt prima toe te passen, door eerst te bekijken waar de organisatie nu staat (nulmeting) en dan een stappenplan te maken om tot een bepaald niveau te komen. Vervolgens zijn procedures nodig die er voor zorgen dat één en ander onderhouden wordt. Periodiek de nulmeting herhalen is dan zinvol, maar kan meegenomen worden in het bedrijfsbrede compliancy en audit proces.
De AVG geldt niet voor ons
Of je nu wel of niet in de EU gevestigd bent, wel of geen EU burger bent of wat voor diensten of producten je ook levert: zodra er gegevens van mensen binnen de EU verzameld en opgeslagen gaan worden val je onder de AVG. Het is niet eens een vereiste dat dit via een computer of een website gebeurt, maar zelfs een systematische verzameling van gegevens in een kaartenbak kan onder de AVG vallen. Privé personen die een lijstje bijhouden van gegevens voor de kerstkaarten kunnen die blijven doen zonder AVG bemoeienis, maar verder – ja, de AVG geldt voor iedereen.
Dus elke keer als iemand stelt dat de AVG niet voor hem of haar geldt stel ik simpelweg de vraag of er ergens binnen de organisatie gegevens van mensen zijn. Leveranciers, klanten, medewerkers, allemaal AVG.. en het antwoord is uiteraard altijd ja. De AVG geldt dus ook voor jou.
Onze Algemene Voorwaarden dekken alles al
Sinds dat de AVG in werking is getreden is er een ware administratieve toestand ontstaan tussen organisaties in het afsluiten van zogenaamde verwerkersovereenkomsten (VWO). Een VWO is een afspraak tussen de verantwoordelijke van de data en een bedrijf die de data namens de verantwoordelijke van de data verwerkt. In zo’n overeenkomst is opgenomen wie welke taken, verplichtingen en rechten heeft. Ook is er vaak een boetebeding opgenomen, geheimhoudingsverklaring en zijn er bijlagen met details over eventuele subverwerkers en specificatie van de verwerkte data.
Dit gaat inderdaad vrij ver: het vereist een hoge mate van detaillering over wie wat wanneer met welke data gaat doen. Maar het is wel exact wat de AVG van je vereist: dat je weet welke data je zelf verantwoordelijk voor bent en als je dan andere (sub)verwerkers inschakelt je precies afstemt wat ze met de data mogen en kunnen doen. In theorie kun je dit inderdaad afspreken met je klanten via de algemene voorwaarden (AV), helaas is het meestal lastig om heel generieke afspraken te maken die voor elke specifieke situatie gelden. Grote leveranciers van SaaS (Software as a Service) diensten doen dit wel, maar liggen hiervoor onder vuur door de toezichthouders vanuit de EU. Bekijk dus goed welke diensten je levert of afneemt en in hoeverre je verantwoordelijke bent of verwerker en wat je hiervoor dient af te spreken met de andere partijen.
Wij voldoen al aan de AVG
Die kans is klein: dus dat beweren vergt natuurlijk wel wat overtuigend bewijs. Even los van dat ook niet per se duidelijk is ‘wat voldoen aan de AVG’ inhoudt. Elke keer dat we bij klanten tussen partijen in debat raken met meer dan 1 jurist of advocaat ontstaat er een zeer interessante discussie over interpretatie, toepasbaarheid, werking en reikwijdte. Richt je dus in beginsel op wat wel bekend is: stappenplan, VWO’s, verwerkingsregister, informatiebeveiliging en bijbehorend beleid en dan komen we ook een heel eind. Voor de resterende vraagstukken is het dan altijd nog mogelijk om inderdaad via een expert opheldering te vragen. Denk daarbij aan ons (we laten ons waar nodig bijstaan door gespecialiseerde juristen) of een Functionaris Gegevensbescherming (FG) waar we ook in kunnen voorzien.
Uiteindelijk telt ook de inzet om tot een bepaald niveau van ‘voldoen aan de AVG’ te komen – dus zorg ervoor dat je in ieder geval een plan hebt en stappen zetten. Overigens ligt dit anders voor organisaties die gevoelige informatie verwerken: deze zullen hun zaken al op orde moeten hebben. Ben je actief bijvoorbeeld in de zorg en heb je het nog niet op orde? Maakt u zorgen. Veel zorgen. Zie namelijk het volgende stukje:
De Autoriteit Persoonsgegevens deelt geen boetes uit
Inmiddels weten we dat dit wel gebeurt. En ook al gebeurde toen de AVG nog niet in werking was, want onder de Wet Bescherming Persoonsgegevens was een boete al mogelijk. Recent kwam het Haga ziekenhuis in het nieuws omdat deze onvoldoende toezicht hield op toegang tot patiëntdossiers en hier een boete voor ontving. Ook Menzis en VGZ moesten er aan geloven wegens het onzorgvuldig verwerken van medische gegevens.
Toch is enige nuance op z’n plek: De AP kijkt namelijk per situatie naar de overtreding, geeft organisaties doorgaans de kans om de situatie te verbeteren en legt eerst een dwangsom op. Deze dient pas betaald te worden als boete als er binnen de gestelde tijd geen actie ondernomen wordt. In het geval van het Haga ziekenhuis is men er niet tijdig in geslaagd de situatie te verbeteren en werd de boete opgelegd. De negatieve publiciteit levert wellicht meer schade op dan een boete.
Aan de andere kant hoef je je niet direct zorgen te maken: de AP kan niet alles in de gaten houden (tekort aan mensen en budget speelt ze ook parten) en daarbij is ook niet elke vorm van datalekkage zo ernstig dat dit een boete verdient. Toch is de AP er niet helemaal glashelder over wanneer boetes worden uitgedeeld – het effect van een mogelijke dreiging is natuurlijk een belangrijk instrument in de handhaving, dus dat zullen ze graag zo houden.
Ik weet precies wat me te doen staat
Top! Hoop dat je wat hebt opgestoken van dit artikel.
Of, toch (een beetje) hulp nodig? Weet dan dat we onze klanten graag helpen met de volgende vraagstukken:
- ben ik AVG ‘proof’?
- voldoen aan de AVG
- een Informatie beveiligingsbeleid schrijven (IB)
- een business continuity plan schrijven (BCP)
- Verwerkersovereenkomsten opstellen en afsluiten met klanten en leveranciers
- Correspondentie onderhouden met de autoriteit persoonsgegevens
- Datalek afhandelen
- Data beheer (DMP, CDP)
- Data integratie (DIP)
Dus mocht je nog geen expert zijn: dat geeft niet – neem contact met ons op voor een kop koffie en we kijken graag waar we je kunnen helpen. We leveren consultancy diensten vanuit onze InTellegus tak en data-diensten vanuit BigDataHub.
Ook meer leren over de AVG en Privacy? Wellicht is deze training iets voor jou! – de Projectsucces redactie
>> Dit artikel verscheen eerder op BigDataHub Blog
onder Iedereen is AVG expert