Pagina 1 van 2
Morgen, 25 mei 2018, eindigt de periode van twee jaar dat bedrijven de gelegenheid hadden om zich voor te bereiden op de Algemene Verordening Gegevensbescherming. Bedrijven moeten zich vanaf dit moment houden aan de complexe Europese regels die de burgers controle moeten geven over hun opgeslagen persoonsgegevens. De gemiddelde burger begrijpt wel het doel, maar niet de inhoud van de AVG. Organisaties die persoonsgegevens verwerken – en dat doen ze nagenoeg allemaal – hebben de taak om hun gegevens in kaart te brengen, hun handelen te toetsen aan de wet en om aan betrokkenen transparant en helder uit te leggen wat ze verzamelen en wat ze ermee doen. En daar zijn ze nog lang niet klaar mee.Autoriteit Persoonsgegevens
Aleid Wolfsen is directeur van de Autoriteit Persoonsgegevens (AP), de instantie die is belast met de handhaving van de AVG. In de vele interviews en verklaringen die hij in de afgelopen weken heeft afgegeven benadrukt hij voortdurend het nut, de noodzaak en de positieve kanten van datatransparantie en de controle die de burger krijgt over 'zijn' persoonsgegevens. Tegelijk erkent hij dat er sprake is van achterstand bij organisaties. Naar zijn (optimistische) idee is ongeveer de helft van de organisaties klaar voor de nieuwe wet. Ook probeert hij de angst voor de enorme boetes van maximaal twintig miljoen euro of 4 procent van de wereldwijde omzet te temperen. Dat lijkt terecht, omdat de AP (met circa 130 werknemers) niet in staat zal zijn om alle overtredingen aan te pakken.
Verwachte procedures
Hoewel Wolfsen zijn redelijkheid ruim tentoonspreidt, vindt Brussel dat de touwtjes veel strakker moeten worden aangehaald dan door hem voorgesteld. Hoe loffelijk het doel van de AVG ook is, het is een feit dat organisaties de impact hebben onderschat en achter de feiten aan lopen. Veel verenigingen, bedrijven en overheidsorganen, waaronder de Belastingdienst, geven aan dat ze nog niet klaar zijn met de inventarisatie (de Privacy Impact Assessment, PIA), en hun procedures nog niet hebben aangepast. Hoe ernstig dat is, zal vanaf morgen gaan blijken als betrokkenen al dan niet massaal hun nieuwe rechten gaan uitoefenen. Naar verwachting zullen er ook AVG-procedures gevoerd gaan worden vanuit louter financiële beweegredenen bij 'slachtoffers' en advocatenbureaus.
Nieuwe rechten betrokkenen
Betrokkenen (voor bedrijven zullen dat vooral hun klanten zijn, voor veiligheidskundigen de werknemers) hadden onder de oude Wet bescherming persoonsgegevens uit 1995 al een heleboel rechten, maar die wet was opgesteld in een tijd dat digitale verwerking, profiling en automatische koppelingen nog nauwelijks aan de orde waren. Bovendien werd die wet nauwelijks gehandhaafd. Sinds de explosie van het internet, de grootschalige datamining en handel in bewerkte, gefilterde en geïnterpreteerde persoonsgegevens door 'dienstverleners' zijn burgers zich bewuster van misbruik. De nieuwe AVG vervangt de Wbp en voegt enkele rechten toe: het recht op dataportabiliteit (het meenemen van opgeslagen gegevens naar een andere dienstverlener) en het recht op vergetelheid (vernietiging van niet langer noodzakelijke gegevens).
Plichten verwerkers
Niet alleen namen, geboortedata en adressen zijn persoonsgegevens, maar ook IP-adressen, mailadressen en allerlei andere data die aan een individu gekoppeld worden vallen onder dat brede begrip. Gezondheidsgegevens, gegevens over ras, geloof en vakbondslidmaatschap zijn zelfs zogenaamde 'bijzondere persoonsgegevens', die in principe niet mogen worden verwerkt. Verwerkers van persoonsgegevens moeten transparant en rechtmatig handelen en ze moeten een grondslag hebben om die gegevens te verwerken. Daarnaast moeten ze in heldere taal duidelijk maken wat ze precies verwerken en waarom. Verwerkende bedrijven moeten een privacyverklaring hebben, een Functionaris Gegevensbescherming (FG) en verwerkersovereenkomsten sluiten met organisaties die gegevens verstrekt krijgen (administratiekantoren, accountants, enz. maar niet met bijvoorbeeld de Belastingdienst of een arbodienst voor wat betreft hun wettelijke taken).
Ook voor de zelfstandige veiligheidskundige
Bij het MKB en vooral onder ZZP’ers is de achterstand veel groter dan de 50% die de AP schat. Ook ZZP’ers zijn bedrijven en zij moeten dus aan de verplichtingen in de AVG voldoen. De 'registerplicht' (schriftelijk bijhouden wat je doet) geldt niet voor bedrijven met minder dan 250 werknemers, maar de 'tenzij-bepalingen' maken dat de meeste ZZP’ers er toch niet onderuit komen. ZZP Nederland verwijt de overheid late en onvoldoende toegankelijke informatieverstrekking en bepleit zes maanden uitstel (14 mei). De vrees voor torenhoge boetes is niet direct op zijn plaats, zeker niet als bedrijven van goede wil zijn en hun betrokkenen zich niet met klachten melden bij de toezichthouder. Tekortkomingen kunnen vanaf 25 mei formeel worden beboet, maar de AP heeft aangegeven in het komende jaar bij kleinere 'mismatches' vooral handhavende maatregelen te nemen in de vorm van waarschuwingen met bijbehorende termijn voor correctie.
Zie ook het artikel in het komende nummer van het tijdschrift DeVeiligheidskundige en de website van de Autoriteit Persoonsgegevens. Er doen veel tendentieuze spookverhalen de ronde en deskundigen spreken elkaar tegen of geven aan het (nog) niet te weten.
Bronnen: website AP, ZZP Nederland, NOS Journaal, Stand.nl, verschillende VK’s