Vanaf 25 mei 2018 gaat de Autoriteit Persoonsgegevens handhaven op het naleven van de Algemene verordening gegevensbescherming (AVG). Er is echter nog veel onduidelijkheid.
‘Big Data, de Privacyverordening en de cloud’ was een van de items waarvoor ondernemers uit Noordoostpolder zich konden aanmelden tijdens de jaarlijkse Ondernemersweek van gemeente Noordoostpolder, die tot en met vrijdag 25 mei duurt. Tijdens een Lunch&Learn op dinsdag 22 mei besprak ICT-jurist mr. ir. Arnoud Engelfriet interactief en met veel voorbeelden de impact van de AVG.
Handhaving AVG
“De wet is twee jaar geleden aangenomen en het heeft vijf jaar geduurd om de wet er te krijgen”, vertelt Engelfriet. “U had dus twee jaar geleden al klaar moeten zijn.” Er is echter nog veel onduidelijk. “Daarom zal ook niemand kunnen zeggen dat hij 100% compliant is. Mensen doen zo veel mogelijk hun best om zich aan de wet te houden, maar er zijn zoveel regels.”
Handhaving zal vooralsnog geen vaart lopen, verwacht hij. “Er zijn 77 handhavers, terwijl er is berekend dat er alleen al 219 nodig zijn om op niveau midden capabel te zijn.”
Alle gegevens die gaan over personen, vallen onder de privacywet. Hierbij gaat het om namen, adressen, telefoonnummers, IP-adressen, maar ook foto’s. Als ondernemer, van multinational tot ZP’er, moet je kunnen laten zien waarom je bepaalde gegevens van personen hebt.
Voor ieder doel moet apart toestemming worden gevraagd. Burgers hebben recht van inzage en recht van kopie van hun dossier. Maar ook het recht om dingen te laten corrigeren als ze fout zijn en te laten weghalen als ze verouderd zijn.
Jip-en-janneketaal
Ondernemers moeten privacyverklaringen opgesteld hebben in gewone taal, B1 en B2 niveau. Daarnaast moet je gaan documenteren. “Kort op papier zetten waarom je een bepaalde registratie hebt, waartoe en hoelang. De toezichthouder kan erom vragen: ‘wat zit er in jouw register?’ Daar moet je inzage in geven, dus dat moet je op orde hebben.”
Voor alle persoonsgegegens die nodig zijn om een opdracht uit te voeren hoeft niet apart toestemming te worden gevraagd, “maar je moet wel aannemelijk kunnen maken dat je ze daarvoor nodig hebt”. Dat geldt ook voor ‘dringend eigen belang’. “Een hotel mag bijvoorbeeld camera’s ophangen in vrij toegankelijke ruimtes om eigen goederen te beschermen.”
In the Cloud
Ondernemers moeten zorgen voor passende technische en organisatorische beveiliging van persoonsgegevens. “Er moet op papier staan hoe je het hebt beveiligd: wachtwoorden doen we op deze manier, we hebben hier toegangscontrole ingesteld, deze gegevens zijn afgeschermd, deze gegevens zetten wij niet in de Cloud, et cetera.”
“Het is niet automatisch verboden in de AVG om dingen in de cloud te zetten, benadrukt Engelfriet. “Als u zegt: ‘ik heb als kleine organisatie diensten nodig als kalenders of e-mail’, dan is het prima om dat in Google of Microsoft te blijven doen. Uit beveiligingsoverwegingen is zelfs het perfect, want zij zijn veel beter in staat om dat te beveiligen dan uzelf.”
100% compliant
100% compliant mag dan haast onmogelijk lijken, maar dat is geen excuus om niets te doen. “Zorg dat u er goed over hebt nagedacht: we hebben dat register, we hebben die privacyverklaring en we hebben nagedacht over de grondslagen, maar vooral: wij zijn ons bewust van de AVG en reageren als mensen een klacht hebben. Als u dat als organisatie kunt zeggen, heeft u het goed voor elkaar.”
