GASTCOLUMN DAAN: Een half jaar AVG
Redacteur: Frank Thooft | Fotograaf: eigen foto Geplaatst op: 12-12-2018

GASTCOLUMN DAAN: Een half jaar AVG

Op 25 mei 2018 werd de Algemene Verordening Gegevensbescherming van kracht. In heel de Europese Unie gelden sinds die dag dezelfde uitgangspunten op het gebied van privacy. De verordening zat er al een paar jaar aan te komen, maar toch zorgde de AVG bij heel wat organisaties voor stress. Inmiddels zijn we een half jaar verder. Was de stress terecht?

De grootste reden voor de stress was de verhoging van de boetes die staan op overtreding van de privacyvoorschriften. Die boetes gingen omhoog van ‘tonnen’ naar ‘miljoenen’, en dat op overtreding van regelgeving die nog lang niet door iedereen begrepen werd. Heel Nederland was in rep en roer en de Autoriteit Persoonsgegevens deed er waar zij de kans kreeg nog even een schepje bovenop. De boetes hadden zo direct effect: privacy stond op de kaart. In ruil daarvoor verdween de kreet ‘Ik heb niets te verbergen’ langzaam van die kaart. Stap voor stap maakten we ons klaar voor de AVG – en de laatste maanden ging bij veel organisaties de turbo erop.

Afgelopen jaar heb ik veel bedrijven geadviseerd in het kader van de nieuwe privacywetgeving. Daarbij heb ik steeds als uitgangspunt genomen dat de AVG een middel is, in plaats van een doel. Het gaat niet enkel om het voldoen aan de regeltjes; het gaat erom dat wij privacy naar een hoger plan tillen. Met dat uitgangspunt in het achterhoofd is het eenvoudiger om keuzes te maken over het (privacy)beleid binnen een organisatie.

Dat zie je ook terug in een van de speerpunten uit de AVG: enkel voldoen aan de regels is niet voldoende; een organisatie moet ook kunnen laten zien dat zij aan de regels voldoet. Daarbij is een groot aantal uitgangspunten uit de AVG wel vergelijkbaar met de regels die wij al kenden uit (onder meer) onze Wet bescherming persoonsgegevens. De vraag ‘Dus dat mag straks niet meer?’ beantwoordde ik dan ook met regelmaat met het antwoord ‘Dat mag nu ook al niet’.

Het uitgangspunt is minimale gegevensverwerking, enkel met een geldige grondslag. Daarbij moeten gegevens deugdelijk worden beschermd en is transparantie over verwerkingen heel belangrijk. Er zijn uiteraard (nieuwe) verplichtingen, zoals het bijhouden van een register van gegevensverwerkingen, het aanstellen van een functionaris gegevensbescherming, het melden van datalekken en het sluiten van verwerkersovereenkomsten, en die leveren een organisatie soms veel werk op. Daarom is het zaak om een pragmatische route te kiezen.

Ondertussen zit de Autoriteit Persoonsgegevens niet stil. Afgelopen maand heeft de zij de eerste boete opgelegd vanwege overtreding van de privacyregelgeving. Softwareontwikkelaar Uber had een omvangrijk datalek niet tijdig gemeld en kreeg daarvoor een boete van EUR 600.000,--.De zaak speelde onder de Wet bescherming persoonsgegevens; ‘oud recht’ dus. Daarmee lijkt Uber er goed vanaf te komen. Onder de AVG was de boete waarschijnlijk veel hoger uitgevallen.

Of de stress rond de AVG terecht was, laat ik in het midden. In elk geval was hij noodzakelijk voor een omslag in het denken over privacy. En dat is ook veel waard. Of heeft u niets te verbergen?

Rob Tijdink is gespecialiseerd in ondernemingsrecht, aansprakelijkheidsrecht en privacyrecht

Auteur Geschreven door:
Foto's Fotografie door:

eigen foto

Agenda Activiteiten

23 mei

11:38
Locatie:

RAN Business ontmoet in De Vereeniging

18 apr

11:38
Locatie: Peeze, Ringoven 36 Arnhem

Bedrijfsbezoek VNO-NCW bij Peeze