Bedrijven moeten hard werken aan privacybescherming

man achter laptop

 Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Bedrijven en organisaties die persoonsgegevens verwerken, krijgen dan meer verplichtingen. Dat vergt een gedegen voorbereiding.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de Algemene Verordening Gegevensbescherming (AVG). Eigenlijk is dat nu nog de Wet bescherming persoonsgegevens (Wbp), maar die vervalt vanaf mei volgend jaar. De Autoriteit onderzoekt het gebruik van persoonsgegevens binnen bedrijven en (overheids)organisaties en kan waarschuwingen uitdelen en boetes opleggen bij overtredingen. Aleid Wolfsen is voorzitter van de Autoriteit persoonsgegevens. “We adviseren de regering en het parlement over nieuwe wetgeving, we zijn toezichthouder en we geven informatie over privacy aan burgers, bedrijven en organisaties.”

Wat zijn de veranderingen? 

“De oude richtlijn stamde uit de jaren negentig van de vorige eeuw, heel gedateerd. Een zoekmachine bijvoorbeeld, bestond toen nog helemaal niet. De digitalisering stond nog aan de vooravond van de enorme ontwikkeling die het zou gaan doormaken. De richtlijn paste niet meer bij de huidige technologische ontwikkeling.

De vijf grootste bedrijven ter wereld verdienen hun geld voor een groot deel met data, lees persoonsgegevens. Dat is heel anders dan in het verleden. Toen handelden de toppers vooral in geld en fossiele brandstoffen. Het verzamelen van data is dus ”big business” geworden. Ook die ontwikkeling geeft aan dat we heel nauwkeurig om moeten gaan met onze persoonsgegevens. In de nieuwe wet krijgen burgers meer en sterkere rechten.

Ook krijgen bedrijven en instellingen meer verantwoordelijkheden en worden de taken en verantwoordelijkheden van de toezichthouder sterker en uitgebreid. Daarnaast komt er een Europese bestuurlijke “paraplu”-organisatie die ervoor zorgt dat de AVG door alle 28 lidstaten op dezelfde manier wordt toegepast en geïnterpreteerd. Dit is goed nieuws voor bedrijven die internationaal opereren: in heel Europa is er straks nog maar een privacyverordening. Bedrijven hebben meestal maar met één toezichthouder te maken. Nu verschilt dit nog per land. De toezichthouder is degene in het land waar het bedrijf is gevestigd.”

“Ook krijgen bedrijven en instellingen meer verantwoordelijkheden en worden de taken en verantwoordelijkheden van de toezichthouder sterker en uitgebreid.”

Wat betekent de AVG voor bedrijven en organisaties?

“Op dit moment zijn we druk met het verstrekken van informatie aan, en het helpen van bedrijven en organisaties bij de voorbereiding op de AVG. In de verordening staat bijvoorbeeld dat ieder bedrijf passende organisatorische en technische maatregelen moet treffen om de gegevens die zij hebben goed te beveiligen. Daar schort het nu nog teveel aan, waardoor bedrijven grote risico’s lopen.

Als je de wet niet naleeft, ben je onrechtmatig bezig. Wij blijven spontaan controleren. Daarnaast krijgen burgers het recht om een klacht in te dienen over alle organisaties die persoonsgegevens verwerken. Wij behandelen iedere klacht. Dat kan leiden tot een onderzoek waarvan de uitkomst “rechtmatig” of “onrechtmatig” kan zijn. In het eerste geval krijgen bedrijven of organisaties een compliment; in het tweede geval moeten wij daar tegen optreden. Dan kunnen we een dwangsom opleggen of een bindende aanwijzing geven, maar het kan ook uitmonden in boetes tot maar liefst twintig miljoen euro.”

Welke voorbereiding is nodig?

“Om bedrijven en organisaties te helpen, hebben wij de tien belangrijkste stappen op een rij gezet. Dit stappenplan staat op onze site. Een van de belangrijke stappen is het aanstellen van een functionaris voor de gegevensbescherming (FG). Alle overheidsorganisaties moeten verplicht een FG hebben en bij veel bedrijven is dit ook verplicht. Als dit niet zo is, adviseren wij bedrijven toch om daar iemand verantwoordelijk voor te maken.

Een FG heeft geen formele sanctiebevoegdheden, maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. Hij of zij moet onafhankelijk zijn en heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Naast het aanstellen van een FG is bewustwording heel belangrijk; als je met data werkt, moet je de regels goed kennen. Breng ook nauwkeurig in kaart wat je allemaal aan privacygevoelige gegevens in huis hebt en zorg ervoor dat de datahuishouding op orde is.”

“Breng ook nauwkeurig in kaart wat je allemaal aan privacygevoelige gegevens in huis hebt en zorg ervoor dat de datahuishouding op orde is.”

Zijn bedrijven en organisaties goed op weg?

“Recent onderzoek van PrivewaterhouseCoopers (PwC) toont aan dat slechts twaalf procent van de bedrijven en organisaties in Nederland al klaar is voor de AVG. Dat is buitengewoon zorgelijk. Ik ben af en toe onthutst over de mate van beveiliging van gegevens, ook bij de overheid. Organisaties en bedrijven moeten dus hard aan het werk. Als toezichthouder helpen we ze daar graag bij. We geven veel voorlichting en bieden praktische uitleg op onze website. Met elkaar gaan we ervoor zorgen dat de privacy van persoonsgegevens in Nederland straks nog beter gewaarborgd is.”

Bron: GEERT STUIKSMAnl.redactie@mediaplanet.com