Innovatie & Strategie

Privacy
Privacy

Vijf hardnekkige GDPR-fabels

Zelfs voor veel GDPR-specialisten is nog onduidelijk wat de gevolgen concreet zijn

© CCO / Pixabay Michael Gaida
25 mei 2018

25 Mei. Iedereen is helemaal klaar. Vandaag wordt de GDPR (in Nederland de AVG) nageleefd en alle bedrijven zijn op de hoogte van deze nieuwe Europese privacywet en zijn volledig compliant.

De GDPR is immers al sinds 2016 van kracht en iedereen heeft deze tijd optimaal benut om zijn privacybeleid op orde te krijgen. Toch?

Niet dus. Uit een recent onderzoek van Forrester blijkt dat een derde van de Europese bedrijven zegt klaar te zijn voor de GDPR, maar dat in de praktijk vaak toch nog niet is. Buiten kijf staat dat er nog veel onduidelijkheid heerst rond de AVG. Wanneer ben je goed bezig en wanneer niet? En hoe wordt dit straks in de praktijk gecontroleerd en nageleefd? Ook gaan er een aantal hardnekkige aannames en fabels rond in de markt, wat mogelijk een risico is voor bedrijven als zij ten onrechte in de veronderstelling zijn compliant te zijn.

De vijf grootste AVG-fabels op een rij.

1. De AVG is de enige privacywetgeving waar bedrijven aan moeten voldoen

De AVG laat ruimte voor lidstaten om hun privacywetgeving op een aantal vlakken zelf in te vullen. Dat is een reden waarom de Europese wettekst op een aantal punten niet erg concreet (soms ronduit vaag) is. In Nederland is de 'Uitvoeringswet AVG' van kracht met daarin de voor ons land specifieke privacyregels, bijvoorbeeld omtrent de verwerking van BSN-nummers en sectorspecifieke regels, zoals voor de zorg. Naast de Europese AVG-regels moeten bedrijven ook aan deze nationale wet voldoen.

2. Het enkel ‘hosten’ van persoonsgegevens is geen verwerking

Bedrijven die alleen maar persoonsgegevens hosten blijven niet buiten schot in de AVG. In de wettekst wordt het opslaan van privacydata specifiek genoemd als één van de manieren van verwerken en hiervoor geldt dus dezelfde strenge AVG-naleving.

3. Om persoonsgegevens te mogen verwerken is toestemming nodig van de betrokkene

Deze blijkt lastig te zijn. Er zijn namelijk zes grondslagen die de verwerking van persoonsgegevens kunnen rechtvaardigen en 'toestemming' is er slechts één van. De andere zijn: uitvoering van een overeenkomst met betrokkene; wettelijke verplichting; bescherming vitale belangen betrokkene; taak van algemeen belang of openbaar gezag; gerechtvaardigd belang verwerkingsverantwoordelijke.

Bij een audit is het raadzaam eerder terug te vallen op een van de andere grondslagen dan op toestemming. Het is immers moeilijk te bewijzen dat de betrokkene echt goed en volledig geïnformeerd was over waar hij toestemming voor gaf. Daarbij ben je afhankelijk van de interpretatie van de betrokkene en sta je minder sterk. Wanneer je echter kunt aantonen dat persoonsgegevensverwerking nodig is voor de uitvoering van een overeenkomst met betrokkene, dan is dat vaak een sterkere grondslag om op terug te vallen.

Desalniettemin is het wel belangrijk om veel aandacht te besteden aan je privacystatement. De tijd van ellenlange teksten vol kleine lettertjes en juridisch jargon is voorbij. Volgens de nieuwe eisen moet de privacyverklaring beknopt, transparant en duidelijk zijn.

4. Als ik passende technische en organisatorische beveiligingsmiddelen heb getroffen, mag ik persoonsgegevens verwerken

Het in huis hebben van state of the art beveiligingsmaatregelen – zoals databasesystemen - is op zichzelf niet voldoende om compliant te zijn. Want wie zegt dat je de autorisatie voor het werken met die systemen goed geregeld hebt? Je hebt dus nog steeds één van de zes grondslagen nodig.

5. De verwerker hoeft alleen de beveiligingsmaatregelen te treffen zoals die door de verantwoordelijke zijn voorgeschreven

Voorheen was dat wel zo, maar dat is veranderd. Voldoen aan de privacywetgeving is een gedeelde verantwoordelijkheid geworden van opdrachtgevers en verwerkers. Zij hebben nu beiden de actieve verplichting om persoonsgegevens veilig te stellen en moeten dit uitvoerig vastleggen in hun samenwerkingsovereenkomst.

In de aanloop naar 25 mei was de spanning in de markt te snijden. Het helpt niet dat zelfs voor veel GDPR-specialisten nog onduidelijk is hoe de naleving zal worden ingevuld en wat de gevolgen concreet zijn. Duidelijk is wel dat – wanneer het om AVG gaat – voorbereiding meer dan het halve werk is. Vertrouw daarbij niet op wat je denkt te weten over het onderwerp, want ook hier geldt: assumption is the mother of all screw-ups.

Reactie toevoegen