De AVG: begrepen, maar zeker nog niet vergeten

Bij tal van bedrijven stond de AVG in de eerste helft van 2018 hoog op de agenda. Terecht, want veel organisaties hadden nooit eerder echt goed nagedacht over het borgen van privacyregels in hun bedrijfsvoering. De voorspelde regen aan boetes door overtreding van de AVG boezemde menigeen angst in. Bestuurders keken elkaar vragend aan: ‘Wij hebben het toch wel goed geregeld?’. Haastig werden processen en systemen doorgelicht om na te gaan of op de juiste manier werd gehandeld. In die tijd is enorm veel werk verricht om IT als klantrelatiesystemen, websites en opslag van data AVG-proof te maken. Vaak heel succesvol. Maar je kunt je afvragen of de boodschap ook anno 2021 is blijven hangen.

Weinig actie vanuit de autoriteiten

Zoals gezegd is de lawine aan AVG-boetes zoals door experts vooraf werd voorspeld uitgebleven. Enerzijds is dat uiteraard een gevolg van de aandacht die toen aan de invoering van de wet is gegeven, maar anderzijds heeft dit ook zeker te maken gehad – en heeft het nog steeds te maken – met de beperkte mankracht en daarmee slagkracht van de Nederlandse privacyautoriteit AP. Zo nu en dan worden boetes uitgedeeld maar het gebeurt niet op het niveau waarvoor werd gevreesd; het aantal beboete organisaties sinds 2018 is op twee handen te tellen. (Overigens, een boete kan maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet bedragen.)

Je zou misschien denken, als er dan toch niet wordt opgetreden, dan kan ook de moeite en het geld dat ik stop in privacy waarborgen ook wel een tandje minder. Een verleidelijke gedachte, maar kijk daarmee uit! Weliswaar is het aantal opgelegde AVG-boetes beperkt; de AP houdt naleving van de privacywet nog steeds nauwlettend in de gaten. En daarbij loont het om zelf bedacht te blijven op mogelijke overtreding, in je eigen systemen maar zeker ook in de dataverwerking met leveranciers waar je mee te maken hebt. Wanneer je een nieuw softwarepakket of opslagdienst in gebruik neemt, weet jij dan altijd waar de data staat? Leveranciers zowel binnen als buiten de EU moeten aan de AVG voldoen in overeenkomsten die zij aangaan met organisaties binnen Europa. Maar lang niet allemaal zijn ze transparant over waar ze jouw data (en dus die van je klanten!) opslaan en hoe ze deze verwerken. Doe je eigen onderzoek en vraag door!

Controller en verwerker: maak het helder!

Daarbij merk ik dat er vaak ook nog verwarring bestaat over de rollen en daarmee verantwoordelijkheden van controller en verwerker in omgang met persoonsgegevens en de AVG. Beide rollen kennen een eigen set plichten in de omgang met data. Sommige bedrijven denken dat ze verwerker zijn in plaats van controller en vice versa. Een controller moet bijvoorbeeld altijd toestemming hebben van de persoon van wie gegevens verwerkt worden en mag deze alleen gebruiken voor het doel waarvoor de data is verzameld. En de verwerker moet er niet alleen voor zorgen dat er geen onrechtmatige toegang tot de data kan worden verkregen, ook ligt bij hem de verantwoordelijkheid dat subverwerkers (denk aan een cloudleverancier) hieraan voldoen. Als je al niet weet voor welke data welke rol je precies draagt, dan kun je op je vingers nagaan dat ook de vereiste borging ontbreekt.

Een ander punt uit de dagelijkse praktijk waaruit blijkt dat het in organisaties ontbreekt aan AVG-kennis of er te weinig aandacht is voor naleving, is het anonimiseren van data. Het idee is dat als je persoonsgegevens anonimiseert door bijvoorbeeld klantnamen te vervangen door klantnummers bij het doorsturen van een bestand naar een verwerker, dat je daarmee voldoende aan privacybescherming gedaan hebt. Dat is slechts ten dele waar. Als het namelijk gaat om indirect herleidbare gegevens – gegevens die an sich niets zeggen over om welke persoon het gaat maar die wel door combinatie van gegevens naar een persoon wijzen – dan blijven deze onder de AVG vallen. Van een directe mogelijkheid tot herleiden is hier geen sprake maar als dat via omwegen alsnog kan, blijven deze gegevens onder de AVG vallen. Vooral databestanden in organisaties die niet actief gebruikt worden maar nog wel gevoelige data bevatten, zijn daarmee risicovol in de zin dat je hier met je security- en privacybeleid rekening mee dient te houden dat je ook hierom beboet kan worden.

Is jouw organisatie voldoende uitgerust op security én privacygebied?

Vanuit de AVG wordt gesteld dat organisaties te allen tijde passende technische en organisatorische maatregelen moeten treffen om persoonsgegevens moeten beschermen. Ik maak daarin graag de vergelijking met een kluis waarin juwelen opgeslagen liggen. Als jouw data en persoonsgegevens gelijk staan aan de juwelen, hoe staat het dan met de beveiliging van je kluis? Zit hier een slot op dat maakt dat je jouw juwelen voldoende beveiligd zijn? Ziet de AP dat ook zo? Het is verleidelijk om te denken dat dit het geval is, maar net als voor eerder genoemde voorbeelden van veronderstelde AVG-naleving geldt dat een terugkerende check geen kwaad kan. Better safe than sorry!

Meer weten? Vul hieronder je gegevens in, stel je vraag en wij nemen zo snel mogelijk contact met je op!