De AVG is bijna vier jaar van kracht. Rond de inwerkingtreding op 25 mei 2018 was er sprake van een hausse aan berichtgeving over de wetgeving. Je zou haast van ‘privacypaniek’ kunnen spreken. Veel van het stof is ondertussen wel neergedwarreld. Tijd voor een korte reflectie. In deze blog staan we daarom stil bij aandachtspunten inzake de wet, zowel voor organisaties die nog niet zo veel (of zelfs niets) hebben gedaan als voor organisaties die juist vergevorderd zijn. Waar staat uw organisatie?
Dirkzwager privacyteam
Al ver voor de invoering van de AVG is binnen Dirkzwager een privacyteam geformeerd. In het team zitten advocaten met verschillende achtergronden. We komen maandelijks samen om de belangrijkste ontwikkelingen op het gebied van privacy te bespreken, zowel op juridisch-technisch vlak als de marktontwikkelingen die we zien.
Het team heeft al vele cliënten bijgestaan in allerhande privacykwesties en meermaals grote events georganiseerd. Ook hebben verschillende leden van het team gezamenlijk gepubliceerd en/of vele blogs over het onderwerp op hun naam staan. Vanuit die ervaringen schrijven we deze blog gezamenlijk.
Voor de beginners en die organisaties waar de aandacht is verslapt
In onze ervaring zijn er nog steeds (heel) veel organisaties waar privacy (te) weinig aandacht krijgt. Ook zien we veel organisaties waar privacy wel veel aandacht heeft gehad, maar waarbij die aandacht ondertussen weer is verslapt. Dat is zonde; al was het maar omdat dit tot reputatieschade kan leiden of bij handhaving tot stevige sancties. Als de Autoriteit Persoonsgegevens (AP) handhaaft, dan lopen de boetes al snel in de tonnen.
Een van de verklaringen voor het gebrek aan aandacht is dat organisaties het rechtsgebied lastig vinden. De regels zijn heel snel van toepassing (je hoeft maar ‘iets’ met persoonsgegevens te doen), maar wat die regels dan precies inhouden is vanwege de vele open normen nog niet altijd eenvoudig te bepalen. Dat issue zien wij ook. Zelfs de Raad van State sprak in een eerder wetgevingsadvies al over “vage wettelijke normen”.
Dat de normen vaag zijn is echter geen excuus er niets mee te doen. Maar waar te beginnen?
In onze ervaring werkt het goed om te beginnen met een privacystatement of het invullen van een verwerkingsregister. In beide documenten komt namelijk het gros van de thema’s uit de privacywet wel terug. Beide documenten zijn ook alleen echt goed op te stellen indien er overzicht bestaat van de gegevens die worden verwerkt.
Tijdens het opstellen van de documenten zullen waarschijnlijk vanzelf enkele vragen rijzen. Die vragen kunnen uiteenlopen van hele fundamentele aard (‘waarom hebben wij deze gegevens eigenlijk?’) tot organisatorische aard (‘wie is eigenlijk verantwoordelijk voor dit proces?’) tot meer juridisch-technische aard (‘hebben we eigenlijk wel een grondslag?’).
Om u hiermee op weg te helpen hebben we ons sjabloon privacystatement en het sjabloon verwerkingsregister vernieuwd. In beide sjablonen zijn bepaalde zaken al ingevuld. Ook worden in de sjablonen aandachtspunten aangestipt. U kunt de sjablonen hier kosteloos downloaden.
Wij kunnen u vervolgens nader ondersteunen bij het opstellen. Dit kan in verschillende vormen (mede afhankelijk van hoeveel u zelf wilt doen). Grosso modo onderscheiden we drie verschillende vormen:
- Sparren. U vult het document zelf in; wij zijn op de achtergrond beschikbaar om waar nodig even (telefonisch of per e-mail) te ‘sparren’. De goedkoopste vorm, waarbij u het werk vooral zelf doet.
- Toetsen. U vult het document zelf in en wij reviewen het vervolgens. Hierbij toetsen we de documenten niet alleen op juridisch-inhoudelijke juistheid, maar ook op logica (zoals het signaleren van innerlijke tegenstrijdigheden of het ontbreken van thema’s die je wel zou mogen verwachten).
- Outsourcen. U kunt de documenten ook door ons laten opstellen. We hebben daarbij nog wel steeds veel informatie van u nodig. De documenten gaan immers over het privacybeleid van uw organisatie en dat kunnen wij lastig verzinnen. Niettemin ligt het gros van het werk en de eindredactie wel bij ons.
In de praktijk komen ook allerlei mengvormen voor. Neem gerust contact op om over de mogelijkheden te praten.
U kunt deze sjablonen natuurlijk ook gebruiken om bestaande documenten op te frissen. We zien namelijk regelmatig dat na 2018 er weinig meer aan deze documentatie is gebeurd.
Voor de gevorderde organisaties
We zien daarnaast ook organisaties waar het privacyrecht wel serieuze aandacht heeft gekregen. In menig organisatie is een privacyjurist, privacy officer, functionaris gegevensbescherming (FG) of data protection officer (DPO) aangesteld. Ook heeft privacy bij veel organisaties specifieke aandacht gekregen bij de afdeling compliance en/of in het bestuur. Of is de aandacht die er al voor het thema was verder aangescherpt.
Bij dergelijke organisaties zien we andersoortige vragen voorbij komen. Hierbij kan gedacht worden aan o.a. het volgende:
- juridisch-technische vragen over de interpretatie van bepaalde begrippen en concepten uit de AVG of de UAVG;
- adviseren over of het afhandelen van door betrokkenen ingeroepen rechten (incl. het spanningsveld met andere belangen of andere wetgeving);
- omgang met botsende wetgeving (zowel nationaal als internationaal);
- het toetsen van grensoverschrijdende gegevensuitwisseling en het opstellen van frameworks daarvoor;
- het begeleiden van de uitvoering van een DPIA;
- het uitvoeren van een toets van of het geven van een second opinion op een uitgevoerde DPIA;
- adviseren in verband met de functionaris gegevensbescherming, diens adviezen en diens specifieke positie in de organisatie.
Het zijn bovendien met name deze organisaties die de jaarlijkse actualiteitencursus privacyrecht bezoeken die we al sinds 2013 ieder najaar organiseren. Aanmelden voor de komende editie is overigens al mogelijk.
Dit soort thematiek is naar haar aard vaak zeer casuïstisch. We hebben hier dus geen sjabloon ter download weg te geven. Uiteraard is het wel zo dat we vanwege onze ervaring vaak soortgelijke vragen al eerder hebben beantwoord. Zodoende kunnen we de nieuwe kwestie in de meeste gevallen relatief snel oppakken. Neem dan ook gerust contact met een van ons op wanneer u met een complexe kwestie zit.
En voor alle organisaties: incidenten, handhaving en bewustwording
Bovendien geldt voor alle organisaties – ervaren of niet – dat er adequaat omgesprongen zal moeten worden met incidenten.
Denk hierbij bijvoorbeeld aan datalekken: de vraag is niet of uw organisatie gehackt wordt, maar wanneer. Heeft u daarvoor de draaiboeken klaarliggen? Kunt u snel genoeg opschalen om het incident af te handelen? Juist bij een incident als een datalek kan het heel erg helpen om daarvoor al vanaf de eerste uren klaar te zijn, ook om zodoende het hoofd koel te kunnen houden.
U kunt echter ook denken aan handhaving door de AP. De kans daarop is in alle nuchterheid niet zo groot – de AP is een kleine organisatie – maar dat laat onverlet dat het iedere organisatie kan overkomen. Bent u er klaar voor wanneer de AP zich bij u meldt? Weet uw receptie wie er dan gebeld moet worden?
Voor dergelijke incidenten kan het helpen de draaiboeken vooraf klaar te hebben liggen. En deze eens kritisch te laten toetsen.
Ook kan het helpen om eens een incident te simuleren. Dat kan zowel in preventieve vorm (‘herkennen mijn medewerkers phishing überhaupt?’) als in simulerende vorm (‘een warroom vormen die een fictief datalek afhandelt’).
Ook hiervoor geldt: we denken graag met u mee en delen onze ervaringen.
Ten slotte: vragen? Neem gerust contact op
Mocht u vragen hebben over het voorgaande, neem dan gerust contact op. We zijn u graag van dienst.