Specialisten in de bescherming van uw gegevens

Dit is hoe privacy ervoor staat, een jaar na de AVG

De Algemene verordening gegevensbescherming (AVG) is inmiddels een jaar oud. Reden voor een feestje? Er valt nog genoeg te doen nu de hype voorbij is, zegt Paul Schokker van FG Support.

De Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 in Nederland de belangrijkste wet op het gebied van privacy en dataprotectie. De komst van de nieuwe wet, een vertaling van de General Data Protection Directive van de Europese Unie, was voor veel organisaties wel even slikken. "Er heerste een algehele paniek, mensen hadden het gevoel dat er opeens allerlei dingen niet meer mochten vanwege de nieuwe privacyregels", blikt Paul Schokker van FG Support terug. FG Support helpt bedrijven en instellingen bij alle vragen over privacy en bij het nemen van maatregelen om aantoonbaar te - blijven - voldoen aan de AVG.

Mogen schoolfoto's zomaar op internet worden gedeeld? Kunnen (web)winkels nog wel nieuwsbrieven sturen aan hun klanten, of digitale klantenkaarten gebruiken? Hoe zit het met het bewaren van de kopieën van identiteitsbewijzen door ondernemers en werkgevers? Het waren vragen waarover rond de invoering van de AVG opeens heel veel gediscussieerd werd.

De hype voorbij

De hype rond de komst van de AVG is nu wel voorbij en heeft zich vertaald in een toegenomen awareness van privacy, signaleert Schokker. "Het onderwerp privacy is regelmatig in het nieuws. Bijvoorbeeld als de toezichthouder, de Autoriteit Persoonsgegevens (AP), een boete uitdeelt. Organisaties zijn ook voorzichtiger geworden in de omgang met persoonsgegevens. Er wordt bijvoorbeeld alerter gekeken naar mogelijkheden om data te minimaliseren." Dataminimalisatie betekent dat er niet méér persoonsgegevens worden gebruikt dan nodig is om het doel te bereiken. De AVG verplicht organisaties om dataminimalisatie toe te passen.

Op dit moment is een van de grootste uitdagingen van de AVG om de regelnaleving op peil te houden, ziet Schokker, die bij verschillende MKB'ers over de vloer komt als privacy-adviseur en externe Functionaris voor de Gegevensbescherming (FG). "De bescherming van persoonsgegevens is een grondrecht, maar het heeft doorgaans niets te maken met de kernactiviteiten van een onderneming. Daardoor kost AVG-compliance soms best wat tijd, geld en moeite." Bij AVG-compliance hoort onder andere dat de organisatie kan laten zien welke maatregelen ter bescherming van persoonsgegevens zijn genomen. Deze zogenoemde accountability betekent dat onder andere steeds een actueel register van verwerkingsactiviteiten wordt bijgehouden.

Het nieuwe normaal

AVG-compliance is anno 2019 bepaald geen vanzelfsprekendheid. Vooral kleine ondernemers - van bakkerijen tot autobedrijven - denken nogal eens dat de wet niet op hun werk van toepassing is. Maar vrijwel elke organisatie verwerkt persoonsgegevens en moet dus aan de wetgeving voldoen. "Je moet daarom nadenken over een degelijk privacybeleid en over passende technische en organisatorische maatregelen om data te beschermen. Voor AVG-compliance is een mix van interne procedures, technische maatregelen en juridische kaders nodig."

De naleving van de privacywet is ook veel meer dan een eenmalige exercitie, waarschuwt Schokker. "Organisaties denken nogal eens dat ze klaar zijn als het tienstappenplan van de AP is doorlopen en een FG is aangesteld. Maar dan begint het eigenlijke werk pas. Je moet goed nagaan waar je staat met dataprotectie en wat er nog moet gebeuren. Je moet ook continu bezig zijn met het monitoren van de naleving en zorgen dat het bewustzijn van de privacyregels is ingebed in de hele organisatie. Stap voor stap wordt AVG-compliance dan het nieuwe normaal."

Van moeten naar willen

Voor veel organisaties is het risico dat de AP een hoge boete uitdeelt een belangrijke drijfveer om met de AVG aan de slag te gaan. Is dat een goede insteek? "In feite betekent de dreiging van sancties dat de toezichthouder zegt: zorg dat je de zaken op orde hebt. In dat opzicht ben ik een voorstander van de boetebevoegdheden die de AP tegenwoordig heeft. Maar het achteloos uitdelen van boetes is natuurlijk geen goed idee." Schokker trekt de vergelijking met een agent die een automobilist aanspreekt op gevaarlijk rijgedrag. "Het is dan effectiever als de agent uitlegt wat er nodig is voor de verkeersveiligheid dan dat hij blindelings een bon uitschrijft."

Schokker en zijn collega's van FG Support, Meindert Boon en Toine Trommelen, pleiten ervoor om privacy niet alleen als een verplichting te zien maar ook als een kans. "Het zou mooi zijn als organisaties anders gaan denken over de naleving van de AVG, zodat ze niet simpelweg móeten voldoen aan de wet maar het ook wíllen. Als je er op die manier naar kijkt dan wordt het namelijk makkelijker om ermee bezig te zijn en blijven. Er is natuurlijk geen magische trukendoos waarmee je in één klap compliant bent. Maar als je het als organisatie echt wilt, dan kost het minder moeite om er tijd en budget voor vrij te maken."

Bij ons zijn uw gegevens in goede handen.

Er liggen bovendien volop kansen om privacy in te zetten in marketing, zegt Schokker. Consumenten en burgers weten misschien niet precies wat de AVG inhoudt, maar vinden het wel belangrijk dat bedrijven en overheden zorgvuldig met hun persoonsgegevens omgaan. "Je kunt daarom onderscheidend zijn ten opzichte van je concurrenten als je tegen klanten kunt zeggen: bij ons zijn uw gegevens in goede handen."

Erop of eronder

Waarmee moeten bedrijven en overheden in de nabije toekomst rekening houden? Schokker verwacht dat het erop of eronder wordt. "De AP is gefaseerd met het toezicht aan de slag gegaan. In het eerste jaar van de AVG draaide het vooral om monitoren en waarschuwen. Straks zet de toezichthouder steeds meer in op handhaving. Als je niet voldoet aan de wettelijke vereisten, loop je dus het risico om door de AP op de vingers te worden getikt."

Het goede nieuws: de AVG hoeft zeker geen remmende kracht te zijn op innovatieve plannen, processen, producten en diensten. Schokker: "Het beeld bestaat wel eens dat vanwege de AVG allerlei dataverwerkingen niet meer zijn toegestaan. Maar binnen de kaders van de wet is nog heel veel mogelijk. Zelfs als je niet helemaal binnen de kaders van de wet kleurt maar wel kunt uitleggen waarom dat toelaatbaar is, kan de compliance uiteindelijk in orde zijn. Het motto is nu eenmaal: comply or explain. Het enige dat je niet moet doen is de kop in het zand steken en denken dat het allemaal vanzelf wel goed komt."

Meer weten over de naleving van de AVG, of praktische ondersteuning nodig om als organisatie nieuwe stappen te zetten in compliance en privacyvolwassenheid? Neem contact op met FG Support.