Door Chiel Harmsen en Ad Boumans​

​Op 24 september zit Transcriptum in het TV programma Ondernemend Nederland over privacybescherming en digitale veiligheid. Hierin wordt door ondernemers aan ondernemers uitgelegd wat er gaat veranderen op het gebied van privacybescherming en hoe ze zich hierop kunnen voorbereiden. Onze boodschap daarin is:

​Hopelijk heb je al enigszins een beeld kunnen krijgen van het soort organisaties waarvoor GDPR implementatie relevant is. In de kern gaat het om de overheid, publiekrechtelijke diensten en middelgrote & grote organisaties, zoals een verzekeringsmaatschappij, een ministerie of een internetprovider.

​De maximale boete is 20miljoen, of 4% van de wereldwijde jaaromzet (afhankelijk van welke hoger is) indien niet aan de nieuwe eisen wordt voldaan. Dat is dus nogal een fors bedrag.  Bovendien kan de Autoriteit Persoonsgegevens (AP) een organisatie corrigerende maatregelen opleggen.
Een gevolg dat misschien nog wel een grotere impact heeft, is de afbreuk van vertrouwen bij klanten, cliënten, leden, werknemers en aandeelhouders. Onzorgvuldige naleving of beveiliging kan immers betekenen dat zij daar de dupe van worden. Niemand wil natuurlijk dat zijn persoonsgegevens op straat liggen. Hierdoor kan dus een vertrouwenscrisis ontstaan, met alle gevolgen van dien. 

Door Jan-Jitze Hees en Ad Boumans

​Een Functionaris Gegevensbescherming (FG) vervult meerdere rollen zoals die van interne adviseur, aanspreekpunt voor de Autoriteit Persoonsgegevens en die van een interne toezichthouder op het gebied van privacy. Hij/zij is op dat punt in zekere zin te vergelijken met bijvoorbeeld de rol van een accountant inzake de financiële administratie. De FG helpt een organisatie in control te komen en te blijven van haar privacygevoelige data. De FG kan bovendien niet ontslagen worden op grond van zijn inhoudelijke standpunten op het gebied van privacy. Niet alle organisaties hoeven overigens een FG aan te stellen. Er is een aantal factoren die hiervoor bepalend zijn. Dit zijn de drie belangrijkste:

De aanstelling van een FG is verplicht voor de overheid, zowel op nationaal, regionaal of lokaal niveau. Dat kan dus bijvoorbeeld een ministerie of gemeente zijn. Voor organisaties die een publiekrechtelijke taak uitvoeren geldt deze verplichting ook, bijvoorbeeld voor een school of een woningcorporatie. De  Aanbestedingsrichtlijn kan als leidraad gebruikt worden om te bepalen of een organisatie een publiekrechtelijke dienst uitvoert of niet. De volgende twee factoren zijn overigens eveneens van belang voor private partijen.

Door Jan-Jitze Hees en Jeroen van Nieuwkerk

​De inhoud van de privacy statement moet toegankelijk kunnen zijn voor de niet-geïnformeerde lezer.  De huidige wet bescherming persoonsgegevens (wbp) vereist dit overigens al, maar de AVG onderstreept dit opnieuw. Transparantie is een belangrijk uitgangspunt in de nieuwe wetgeving. Het is dus van belang om (te) juridische of abstracte verwoordingen om te zetten in toegankelijk, alledaags taalgebruik.

'Nog één jaar' is de titel van een artikel van onze privacy en security deskundige Ad Boumans dat hij heeft gepubliceerd op LinkedIn. Hierin geeft hij aan dat de nieuwe Europese privacy-wetgeving, de Algemene Verordening Gegevensbescherming (AVG), van kracht wordt in mei 2018. Het meest bijzondere hieraan is dat deze wet hoge eisen stelt aan organisaties en bedrijven die persoonsgegevens verwerken.

Die eisen zijn bijvoorbeeld het eerbiedigen van de rechten van de personen wiens gegevens worden verwerkt, technische en organisatorische maatregelen die zorgen voor een adequate beveiliging, het benoemen van een Functionaris Gegevensbescherming (FG) bij sommige organisaties, het verantwoordelijk zijn voor de gehele keten aan verwerkers in geval van uitbesteding en in staat zijn aan te tonen dat aan de wet wordt voldaan. De AVG is in 2016 aangenomen. De wetgever realiseert zich dat organisaties veel werk moeten verrichten en daarom is er niet voor niets die overgangstermijn van twee jaar.  

In het artikel benadrukt Ad dat organisaties en bedrijven actie moeten ondernemen om er voor te zorgen dat in mei 2018 de (privacy)zaken op orde zijn. Los van de hoge boetes die gepaard kunnen gaan met het niet-voldoen aan de wet, speelt natuurlijk mee de schade die de organisatie lijdt / kan gaan lijden. Imago-schade bijvoorbeeld ligt op de loer. En wat te denken van de verstoring van bedrijfsprocessen als consumenten massaal informatie gaan opvragen. De wet stelt dat informatieverzoeken binnen een termijn van een maand moeten worden gehonoreerd. Dat kan een behoorlijke belasting met zich meebrengen voor de organisatie.

Een organisatie kan de privacy op zijn beloop laten en afwachten of in actie komen. Daarmee loopt de organisatie grote risico’s. Het artikel geeft een opzet voor een actieplan dat er voor gaat zorgen dat de organisatie AVG-compliant is in mei 2018. Start eerder vandaag dan morgen want hoe langer de organisatie wacht des te moelijker wordt het tijdig gereed te zijn.

Door Ruud Koorneef en Ad Boumans

Op 27 april 2016 is de Europese privacyrichtlijn vastgesteld. In het Engels staat deze bekend als General Data Protection Regulation (GDPR). De Nederlande naam is Algemene Verordening Gegevensbescherming. Onlangs (13 december 2016) zijn nadere richtlijnen gepubliceerd over het recht op overdracht van gegevens: dataportabiliteit: ‘Guidelines on the right to data portability’ aangenomen. Dat document geeft meer diepgang en uitwerking aan artikel 20 van de privacyrichtlijn.

Mijn eerste reactie op het lezen van artikel 20 was: wat is de bedoeling van dit artikel? Welke klant zou nou vragen om zijn gegevens vanuit de huidige naar een nieuwe leverancier of zijn eigen datastore te sturen? Het opgeven van de NAW gegevens en wat ‘aanhangend spul’ is toch niet zo omvangrijk dat dit een issue zal worden?

​De toelichting (Guidelines on the right to data portability) van 13 december 2016 laat hier een toch veel complexer beeld zien. Het gaat in deze niet alleen om de gegevens op klantniveau maar ook om de onderhangende gegevens; gegevens die de klant heeft gegenereerd of ingebracht.

Zijn we niet een beetje te nonchalant met onze persoonlijke gegevens? Het zijn niet alleen overheidsinstanties en bedrijven die al te gemakkelijk persoonsgegevens delen. Als individuele burger of klant doen we daar ook aan mee.