Eén jaar AVG - zes dingen die nu anders zijn

May 23, 2019

We zullen 25 mei 2018 niet snel vergeten. Na een periode van keihard werken om onze klanten te helpen en om zelf AVG-compliant te zijn op die datum, werd er hier op kantoor een memorabel feestje gevierd. Nu, een jaar nadat de AVG van toepassing is, ziet de dagelijkse privacy praktijk er weer heel anders uit. Dit komt met name omdat privacy en gegevensbescherming steeds meer structureel onderdeel wordt van de dagelijkse bedrijfsvoering. In deze blog bespreek ik de tussenstand.

1. De rust is wedergekeerd

In de aanloop naar 25 mei 2018 – het moment dat de AVG van toepassing werd – ontstond er zacht gezegd nogal wat commotie. In dat opzicht leek het veel op de millenniumpaniek rondom Y2K. Ook destijds steeg de spanning en ontstond er de prangende vraag: gaat de millenniumbug nou toeslaan of niet. Iedereen was gewaarschuwd, maar niemand wist echt wat er ging gebeuren. En net als in de aanloop naar 1 januari 2000, werd er ook in de aanloop naar 25 mei 2018 met zwaar materieel uitgerukt. Zo moesten er bij veel organisaties extra resources en projectteams komen om ervoor te zorgen dat organisaties op 25 mei compliant zouden zijn. Want stel je nou eens voor dat de Autoriteit Persoonsgegevens op 25 mei op de stoep zou staan, zo werd er gedacht, dan moest er wel aantoonbaar een flinke slag gemaakt zijn met de implementatie. Zeker bij de overheid, de zorg en bedrijven die handelen in persoonsgegevens. De sectoren die de AP volgens het toezichtkader als eerste onder de loep zou nemen.

Nu we een jaar verder zijn, is de grootste hype ervan af. Maar de AVG gaat nergens heen, it is here to stay. Privacy structureel onderdeel maken van de bedrijfsvoering, dat is de grootste uitdaging. En nu de projectteams vertrokken zijn, wordt er een gezamenlijke inspanning van de Privacy Officer(s), de Chief Information & Security Officer en de Functionaris Gegevensbescherming verwacht. Zij zullen hier – samen met de rest van de organisatie – in de dagelijkse praktijk invulling aan moeten geven.

2. Organisatiebrede awareness

Als onderdeel van de implementatie is er het afgelopen jaar bij veel organisaties extra aandacht besteed aan privacy awareness. Hierdoor wordt het belang van privacy steeds beter ingezien en worden vragen en uitdagingen op het gebied van gegevensbescherming steeds vaker herkend. Maar na de eerste kennismaking met de Do´s en Don´ts onder de nieuwe privacywetgeving, zullen overwegingen in de dagelijkse praktijk steeds meer kennis vergen. Bijvoorbeeld bij het specificeren en uitbreiden van datasets, het uitwisselen van gegevens in het publieke domein of met (keten)partners, de aanschaf van een nieuw systeem of het starten van een nieuwe campagne. De Privacy Officer en de FG worden hierdoor steeds meer betrokken bij de dagelijkse gang van zaken en het ontwerp van producten en diensten.

In de praktijk zien we dat er bijvoorbeeld Data Boards geïnstalleerd worden; comités waar periodiek alle stakeholders vanuit de business, risk & compliance en IT samen adviseren en besluiten over concrete vraagstukken over gegevensbescherming. Ook al deed de AP in november 2018 bijvoorbeeld aanbevelingen voor registers van verwerkingen, het is nog steeds lastig vast te stellen wat het exact betekent om privacy compliant te zijn.

3. Niet statisch maar dynamisch

Het implementeren van de noodzakelijke vereisten van de AVG is stap 1. Het onderwerp levend en up-to-date houden, dat is stap 2. Want organisaties en de daar bijhorende systeemlandschappen zijn dynamisch. Mensen komen en gaan. En dit heeft op zijn beurt weer impact op de rollen en verantwoordelijkheden van het personeel, de rechten die worden toegewezen, de datavelden die worden aangevuld en verwijderd, of complete nieuwe systemen of verwerkingen die gestart worden. In een dynamische en datagedreven organisatie is het aan de orde van de dag en daarmee dus ook noodzakelijk om de benodigde AVG-maatregelen up-to-date te houden. En dat ook nog eens in een continue veranderende omgeving. Dit vergt continue alertheid op wijziging van de status quo. Denk aan updates van het register van verwerkingen, leveranciersmanagement of de privacyverklaring.

En daar waar een start in Word en Excel een goed begin is, ontstaat er voor organisaties met een omvangrijk overzicht van beleid, procedures, systemen en verwerkingen steeds meer behoefte aan softwarematige ondersteuning, zoals men al langer gewend is in informatiebeveiliging of operations.

4. Verschuiving naar complexere privacyvraagstukken

Er is veel kennis beschikbaar om te voldoen aan de minimale vereisten van de AVG en om dit aantoonbaar te maken. Maar nu, een jaar nadat de AVG van toepassing is en de basis succesvol is geïmplementeerd, gaat het bij de complexere privacyvraagstukken nog vaak mis.

Denk aan organisaties die zich op een bepaalde grondslag baseren, maar dit niet goed kunnen onderbouwen. Organisaties die een verwerkingsregister bijhouden, maar niet weten hoe ze dit efficiënt kunnen doen, of op welk detailniveau. Zo worden er datalekken niet gemeld, ook al moet dat wel. Of hoeft het juist niet, maar wordt het wel gedaan. Technische en organisatorische maatregelen worden toegepast bij Privacy by Design & Default, maar op de verkeerde manier. Of denk aan de vele organisaties die verplicht zijn een data protection impact assessment (DPIA) uit te voeren, maar niet weten hoe ze het risico moeten bepalen. Want hoe complexer de software en functionaliteiten die deze ondersteund, hoe uitdagender de DPIA. Zo leert ook de DPIA die Privacy Company uitvoerde voor het ministerie van J&V.

5. FG most wanted person

Met de komst van de AVG is het aanstellen van een Functionaris Gegevens bescherming voor aangewezen sectoren verplicht geworden. Het maakte de Functionaris Gegevensbescherming in korte tijd de most wanted person voor veel recruiters. FG’s werden in no time klaargestoomd voor de rol van interne handhaving. Inmiddels zijn er 8000 FG’s aangemeld bij de AP, waarvan veel in de zorg. Voor veel FG’s krijgt de zoektocht om invulling te geven aan de rol steeds meer vorm. Ook de AP neemt hier een actieve rol in met de start van een telefoonlijn voor FG’s en de, inmiddels uitverkochte, organisatie van De Dag van de FG op 27 mei. Niet elke organisatie heeft een full time FG nodig. Deze worden dan ook vaak gedeeld met andere organisaties of in samenwerkingsverbanden en extern ingehuurd.

6. We zijn pas net begonnen

Het is een mooi jaar geweest. En wie dacht dat het klaar was op 25 mei 2018, niets is minder waar, we zijn nog lang niet klaar met privacy en gegevensbescherming. We zijn pas net begonnen. Er is nog genoeg te doen. Volgens de AP bevat slechts 60% van de onderzochte verwerkingsregisters een complete omschrijving van de verplichte elementen van een datalekmelding (de feiten, de gevolgen en de genomen maatregelen). Ook hebben de onderzochte organisaties vaak geen strakke regels om datalekken te registeren.

Kortom, het privacy bewustzijn en de kennis groeit. Ik ben benieuwd wat er komend jaar gaat gebeuren. De AP heeft aangekondigd, na een jaar bewustzijn te hebben gecreëerd, zich meer te willen gaan richten op handhaving.

Download