Het Uur U: Het toepasselijk worden van de AVG

17 mei, 2018

De laatste tips & tricks en waarschuwingen

Het is bijna zover. Over minder dan 10 dagen wordt de AVG van toepassing en vanaf dat moment kan de nationale privacy-waakhond, de autoriteit persoonsgegevens (“AP”), boetes gaan opleggen die kunnen oplopen tot € 20 miljoen of 4% van de wereldwijde omzet.

In eerdere publicaties [1] heb ik al over dit onderwerp geschreven en ook anderen hebben op dit platform reeds geschreven over de implicaties van de AVG op verschillende deelterreinen en dan uiteraard voornamelijk waar dit een raakvlak heeft met de rol van commissarissen en andere toezichthouders.

In deze publicatie geef ik eerst enkele korte tips voor de commissarissen en toezichthouders van organisaties die nog niet zijn begonnen met de implementatie van de verplichtingen uit de AVG: waarmee kan op korte termijn en op redelijk eenvoudige wijze een eerste controle verzoek van de AP worden gepareerd?
Daarnaast wijs ik in het kort op de grootste risico’s: waar schuilen de grootste gevaren en hoe daar mee om te gaan.

Beleid
Mocht de AP op maandagochtend 28 mei 2018 om 9:00 uur bij uw organisatie op de stoep staan, dan adviseer ik om (in ieder geval) een beleid(splan) AVG aan de controleur te kunnen voorleggen.
In dat beleid legt u op hoofdlijnen vast wat er binnen uw organisatie wordt gedaan ten aanzien van de verwerking van persoonsgegevens. In dit beleid dient in ieder geval te worden opgenomen van welke groepen ‘personen’ u persoonsgegevens verwerkt, voor welk doel en op grond van welke juridische basis u deze persoonsgegevens verwerkt en wat de gehanteerde bewaartermijnen zijn. (Daarnaast doet u er goed aan in het beleid ook op te nemen wat er nog gedaan gaat worden om volledig compliant te worden).

Het hebben van een dergelijk (intern) gegevensbeschermingsbeleid is geen verplichting uit de AVG, maar biedt wel een eerste handvat om daarna het verwerkingsregister, de verwerkersovereenkomst(en), privacy notices e.d. vast te leggen.

Dat beleid kan daarbij ook dienen om het bewustzijn van de medewerkers te vergroten. Het zijn over het algemeen immers vooral de medewerkers die persoonsgegevens verwerken en die dus een groot risico op onrechtmatige verwerking van persoonsgegevens vormen. Een goede ‘sturing’ van de werknemers is essentieel om de weg naar volledige compliancy met enige kans van slagen af te leggen.

Het is hoe dan ook belangrijk om ervoor te zorgen dat werknemers voldoende bewust zijn van de verplichtingen rondom rechtmatige verwerking van persoonsgegevens; het blijkt immers dat 80% van de datalekken worden veroorzaakt door menselijke fouten.

Welbewuste medewerkers zijn in die zin misschien wel waardevoller dan de duurste beschermingssoftware.

Datalekken
Ook ten aanzien van (mogelijke) datalekken dient er vooral een duidelijk (en eenvoudig) beleid te zijn: wie doet wat en wanneer en waar wordt de informatie over de datalekken bijgehouden/geregistreerd?

Het is nagenoeg uitgesloten dat een organisatie niet op enig moment te maken zal krijgen met een datalek: het is daarom van het grootste belang om alle afspraken op orde te hebben rondom het ‘aanpakken’ van een datalek en het beperken van de gevolgen van het datalek, waardoor de schade kan worden geminimaliseerd.

Zoals aangegeven wordt de kans op het beperken van schade vergroot door het creëren van bewustzijn bij de werknemers. Dat bewustzijn mag (om niet te zeggen: moet) ook worden verwacht van de verwerker met wie u samenwerkt. De AVG schrijft immers onder meer voor dat u alleen een beroep moet doen op verwerkers die voldoende ‘veiligheids’garanties bieden.

Het is inmiddels mogelijk om u tegen allerlei risico’s in te dekken door een AVG-polis af te sluiten. Mijn advies is daarbij echter wel om goed te kijken naar de kleine lettertjes. Het is mij immers niet bekend of het achterwege laten van bewustwordingsmaatregelen richting werknemers en het niet controleren van verwerkers op hun ‘garanties’ ook worden gedekt.

Conclusie
Mijn advies voor de ‘beginners’ is dan ook om te beginnen met het vastleggen van het beleid: neem daarvoor als uitganspunt dat wat er op dit moment wordt gedaan op het gebied van het verwerken van persoonsgegevens. Van daaruit kunt u bijsturen waar nodig en gaan vastleggen wat er vastgelegd dient te worden. Besteed vervolgens tijd aan de bewustwording van de werknemers (en waar mogelijk van de verwerkers).
Deze bewustwording kan ook bevorderlijk werken voor het voorkomen van datalekken.
Doet er zich toch een datalek voor, ga dit dan niet proberen te verhullen: ik durf de voorspelling te doen dat de AP voor dat soort acties de hoogste boetes zal bewaren.

Ruben Veenhuysen is advocaat sinds 2001 en gespecialiseerd in het Internationaal contractenrecht, intellectueel eigendomsrecht en het privacyrecht. Op deze gebieden staat hij ondernemingen, instellingen en overheden bij.

Ruben Veenhuysen
oud-medewerker Thuis Partners

[1] “Urgent onderwerp: de bescherming van persoonsgegevens, “De ICT Commissaris“, “Wet cliëntenrechten bij elektronische verwerking van gegevens, en “Model privacyreglement voor samenwerkingsverbanden in het onderwijs“.

Geschreven door

Was dit artikel nuttig?

Wij bespreken graag uw persoonlijke situatie tijdens een vrijblijvende kennismaking met een voor uw situatie relevante specialist.

Een van onze adviseurs neemt binnen uiterlijk één werkdag contact met u op om samen een afspraak in te plannen