GDPR / AVG? Ik bel mn advocaat !

/in /door

Het implementeren en toepassen van de nieuwe privacy verordening AVG / GDPR die per 25 mei 2018 van toepassing wordt, is impactvol voor veel bedrijven en organisaties. In inventariserende gesprekken die wij als gespecialiseerde consultancy partij voeren horen wij nog vaak. “Ja, ik heb gehoord van de nieuwe regels, ik zal onze advocaat eens bellen” of “onze advocaat adviseert ons hierbij.” Hieronder is beschreven waarom er meer moet gebeuren dan alleen u advocaat bellen.

Het kan natuurlijk een goede eerste stap zijn om u te laten informeren door uw advocaat. Immers, zij kennen de wetteksten en helpen uw bedrijf vaak goed. Ook door het opstellen of aanpassen van bijvoorbeeld (bewerkers-) overeenkomsten kan een advocaat prima werk doen. Bovendien wordt niet ieder bedrijf even hard geraakt door deze nieuwe verordening en hoeft er dus ook maar weinig aan te worden gepast in de bedrijfsvoering. Dit geldt vooral voor kleine bedrijven of organisaties die geen of slechts beperkt persoonsgegevens verwerken.

Zelf aan de slag; u kent de risico’s

Het raadplegen van uw advocaat is echter te weinig als u zelf niets doet.

Als u geraakt wordt door de AVG / GDPR dan moet u echt zélf aan de slag. Het is geen papieren exercitie op afstand.

Uw aanpak dient volgens de verordening risico-gebaseerd te gebeuren. U dient uw verwerkingen van persoonsgegevens in processen en systemen in kaart te brengen en bijbehorende risico’s hiervan te identificeren en te managen. Daar waar de risico’s het grootst zijn, neemt u maatregelen zoals het uitvoeren van een Privacy Impact Assessments of het versterken van de informatiebeveiligingsprotocollen. Uw medewerkers dient u hierin uiteraard goed mee te nemen.

Samenspel van disciplines is nodig

Het implementeren van de nieuwe verordening dient op multidisciplinaire wijze te gebeuren. Het juridisch perspectief is daarvan een onderdeel. Samenwerking dient te worden gezocht met de business en met IT. Een projectleider zal voor de implementatie deze drie disciplines samen brengen en tot een plan moeten komen. Met een dergelijke aanpak kunnen structurele maatregelen worden getroffen waar iedereen bij betrokken is. Juist dit structurele karakter is van belang. Immers, de AVG/ GDPR is niet iets eenmaligs, het blijft aanwezig in uw organisatie of bedrijf ook na 25 mei 2018.

Juist het samen ‘doorleven’ van de gestelde regels en het bepalen van de impact hiervan is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid en getroffen maatregelen die daadwerkelijk gedragen en toegepast worden.

Aantoonbaarheid uit de AVG/GDPR
Een van de leidende beginselen van de nieuwe EU Verordening voor Privacy en Data Protectie is accountability. Ofwel; verantwoording kunnen afleggen aan de buitenwereld over hoe wordt omgegaan met persoonlijke data van personen (o.a. klanten en burgers). De AVG / GDPR legt heel nadrukkelijk een verantwoordelijkheid neer bij het bedrijf of de organisatie om aan te tonen dat zij de belangrijkste risico’s in kaart heeft en passende maatregelen heeft genomen om dit te beperken. Als dit niet op orde is kan de Autoriteit Persoonsgegevens boetes opleggen.

DPO/FG

Om deze aantoonbaarheid doorlopend te kunnen realiseren kan een Data Protection Officer, ofwel in het Nederlands, een Functionaris Gegevensbescherming hierbij een belangrijke rol spelen. In veel gevallen is een dergelijke functionaris ook verplicht om te hebben per 25 mei 2018. De functie dient goed in de besturing en governance te worden ingeregeld. Uiteraard kan op papier een statuut worden opgesteld, maar het gaat erom dat deze functionaris verbinding heeft met het bedrijf of organisatie en tegelijkertijd op onafhankelijke wijze kan acteren. Deze schijnbare tegensteling moet worden uitgelegd aan de medewerkers en de directie. Als dit niet goed gebeurt zal de DPO namelijk al snel zelf verantwoordelijk worden gehouden voor alles wat met privacy en data protection te maken heeft. En dit beeld moet worden voorkomen en is gevaarlijk. Immers, de gehele organisatie is hiervoor verantwoordelijk.

Achterliggende principes van regels

Als laatste argument om niet een strict en uitsluitende juridische insteek te kiezen voor de implementatie en toepassing van de AVG / GDPR is dat achter deze regels principes liggen die leidend moeten zijn in de discussie. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen.

Conclusie: Bovenstaande leidt tot het inzicht dat een bedrijf echt zélf aan de slag moet met de AVG! Mocht u daarbij ondersteuning wensen, neemt u dan graag contact op met Lumen Group.