Vanaf 25 mei 2018 moeten bedrijfsleven en overheden voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Iedere organisatie is zelf verantwoordelijk voor het tijdig voldoen aan de nieuwe wetgeving. Door de AVG krijgen personen meer privacy rechten. Organisaties moeten hun systemen, processen en interne organisatie op deze nieuwe rechten inrichten. Welke risico’s lopen ondernemers en instellingen wanneer zij dit nalaten? En welke voordelen levert het op wanneer zij deze materie goed regelen? Westfriese Zaken bezocht Mr. Gerard Zaalberg voor het inwinnen van juridisch advies. In het digitale tijdperk waarin we leven delen we allemaal steeds meer informatie over onszelf. Soms bewust, vaak onbewust. Ontelbaar veel organisaties gebruiken persoonsgegevens en wisselen deze uit. Privacy rechten beschermen ons tegen onrechtmatig gebruik van deze data. Privacy is een grondrecht. In Artikel 10 van de Nederlandse Grondwet staat dat iedereen het recht heeft om in de beslotenheid van zijn persoonlijke levenssfeer met rust te worden gelaten. De persoonlijke levenssfeer omvat onder meer: het huis, de briefwisseling, de communicatie via telefoon en andere besloten middelen van communicatie, het recht om in besloten situaties niet te worden bespied of afgeluisterd én het recht op zorgvuldige behandeling van persoonlijke gegevens. De belangrijkste regels staan omschreven in de Wet Bescherming Persoonsgegevens. In de eerste plaats stelt de wet regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. In de tweede plaats voor het inzagerecht en voor het recht op verbetering van onjuiste gegevens. Nieuwe privacy rechten Met de komst van de nieuwe regels staan individuen sterker in het beschermen van hun (online) privacy. De AVG versterkt bestaande privacy rechten en burgers krijgen tevens twee nieuwe rechten. Zo is in de Algemene Verordening Gegevensbescherming het “recht op vergetelheid” opgenomen. Dit houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene, diegene van wie de organisatie gegevens verwerkt, erom vraagt. Tevens krijgen mensen het recht op dataportabiliteit. Oftewel: overdraagbaarheid van persoonsgegevens en hebben zij het recht om in principe kosteloos de persoonlijke gegevens te ontvangen die een organisatie van hen heeft. De huidige regels zijn opgesteld in een periode waarin het internet nog in de kinderschoenen stond. De nieuwe wet is aangepast aan het digitale tijdperk waarin persoonlijke data razendsnel worden opgeslagen op plekken waarvan men veelal geen notie heeft. Deze worden vervolgens gebruikt en soms zelfs gedeeld en verkocht. De nieuwe Europese privacywet zorgt ervoor dat onze gegevens beter worden beschermd, rechtmatig worden verwerkt en vertrouwelijk worden behandeld. Huiswerk Daarnaast krijgen organisaties meer verplichtingen. Bedrijfsleven en overheden moeten hun systemen, processen en interne organisatie op deze nieuwe rechten inrichten. ‘De AVG levert een behoorlijk stuk huiswerk op voor bedrijven en instanties. De nieuwe wetgeving legt namelijk meer nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan de wet houden. Deze verantwoordingsplicht houdt in dat zij met documenten moeten kunnen bewijzen dat de juiste organisatorische en technische maatregelen zijn genomen. Organisaties dienen goed na te denken over hoe persoonsgegevens worden verwerkt en beschermd. Zo moet een register worden opgesteld van het soort persoonsgegevens dat geregistreerd wordt, de doelstelling daarvan en de rechtsgrond voor de verwerking. Ook moeten zij kunnen laten zien dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen. Dat is in de praktijk nog niet zo eenvoudig. In een ICT-omgeving komen gegevens immers op ontelbaar veel plaatsen terug’, vertelt Mr. Gerard Zaalberg. Sinds zijn afstuderen in het fiscale en in het procesrecht is hij werkzaam als advocaat-fiscalist. Ook biedt hij als directieadviseur al vele jaren oplossingen voor bedrijfsorganisatorische vraagstukken. ‘Het verraderlijke van de nieuwe wetgeving is dat de filosofie daarachter anders is dan van het huidige systeem. Het op orde hebben van je zaken wordt in de toekomst dus veel intensiever.’ Getrapte aanpak Een andere noviteit schuilt in het feit dat ondernemingen verplicht kunnen zijn om een Privacy Impact Assessment (PIA) uit te voeren. ‘Een PIA stimuleert om op tijd na te denken over uiteenlopende vragen. Bijvoorbeeld wat de impact is van een project op de privacy van de betrokkenen. Wat de risico’s zijn voor de mensen van wie persoonsgegevens worden verwerkt én voor de organisatie. En of er ook een aanpak mogelijk is die minder gevolgen heeft voor de privacy. Het (laten) uitvoeren van een PIA is verplicht in het geval dat er met gevoelige data wordt gewerkt. Dat is bij werkgevers al snel het geval. Zij werken immers met bankgegevens. Ook gegevens over ziektever zuim en arbeidsprestaties zijn precair. Soms moet een Functionaris Gegevensbescherming worden aangesteld, die de taak heeft om te zorgen dat een organisatie compliant blijft.’ In zijn praktijk bij het middelgrote advocatenkantoor Van Dolder, De Geest & Hoekstra staat Mr. Gerard Zaalberg zijn cliënten bij in wat zij concreet moeten doen ten aanzien van de AVG. ‘Ik adviseer een getrapte aanpak door te beginnen met een risico-scan, inventarisatie van de gegevensverwerkingsprocessen en beoordeling van de wijze waarop de organisatie daarover communiceert. Bijvoorbeeld op hun website, maar ook intern naar het eigen personeel. Wij maken samen met de cliënt een doorlichting en komen met aanbevelingen voor veranderingen om aan de wetgeving te kunnen voldoen. Organisaties die zelf al een inventarisatie hebben gemaakt, kunnen we helpen met een quick scan daarvan. Dit onderzoek op volledigheid geeft hen een goed beeld van de status en welke punten aandacht behoeven.’ Wake-up call Dat brede awareness bij ondernemers en instellingen urgent is, spreekt uit de behoorlijke risico’s die aan non-compliance met de AVG kleven. Deze manifesteren zich in aansprakelijkheid, boetes en reputatieschade. ‘Het lijkt er echter op dat veel bedrijven er nog niet klaar voor zijn. In november 2017 bleek uit onderzoek dat tachtig procent nog niet gereed was en zestig procent überhaupt geen enkele notie had. Dat betekent dat er werk aan de winkel is! Voor wie op 25 mei zijn systemen, processen en interne organisatie niet heeft doorgelicht, staan de seinen op onveilig. De nieuwe wetgeving is voor zowel kleine als grote organisaties een veelkoppig monster dat zij moeten beteugelen. De risico’s zijn ook herkenbaar voor iedereen. Zo kan er reputatieschade ontstaan wanneer je niet helder bent over data die je verwerkt en het publiek zich door het gebruik daarvan overvallen voelt. Door onnadenkendheid en gebrek aan goede interne richtlijnen kan een datalek ontstaan waardoor persoonsdata op straat komen te liggen. Als daar iets mee gebeurt en je hebt de zaken niet op orde, dan loop je het gevaar aansprakelijk te worden gesteld voor daaruit volgende schade. De maximale boetes welke de Autoriteit Persoonsgegevens als sanctie oplegt zijn twintig miljoen euro of vier procent van je wereldwijde omzet. Het voorkomen van ongelukken door het huiswerk op orde te hebben, is dus zeer belangrijk. De AVG is in die zin ook een wake-up call en de voordelen schuilen met name in de afwezigheid van ellende. Om het op z’n Cruijffiaans te zeggen: je ken er niet van winnen, maar wel van verliezen.’ Bron: Westfriese Zaken