Hoe veel overgangsrecht krijgen we bij de Privacyverordening?

Een lezer vroeg me:

Op 25 mei volgend jaar treedt de Privacyverordening in werking, las ik. Dus vanaf dan krijgen we al die strenge nieuwe regels over toestemming, privacyverklaringen en datalekken, met boetes tot een paar miljoen per overtreding. Maar wat ik nergens kan vinden, is hoe veel overgangsrecht we dan krijgen om onze systemen en dergelijke aan te passen. Hoe veel jaar is dat?

Dit is misschien een tikje pijnlijk maar het ding is al in werking en we zitten al in het overgangsrecht. Op 25 mei vorig jaar werd de Privacyverordening aangenomen, en twee jaar daarna wordt hij “van kracht” oftewel dan gelden al die regels écht. Die twee jaar is de overgangsperiode.

Volgens mij beseffen nog maar héél weinig mensen dit. En ik durf nu al wel te voorspellen dat we straks in 2017 een heleboel boze berichten gaan lezen dat men zich overvallen voelt door die nieuwe wet en alles dat daarvoor “ineens” moet worden gedaan, inclusief hernieuwde toestemming vragen, bewerkersovereenkomsten herzien en de documentatie voor alles op orde hebben.

Maar wie het goed wil doen, kan beter nú al aan de slag. Een paar aandachtspunten:

  • Is je toestemmingsvraag losgekoppeld van andere vragen (dus niet “Ik bestel en wil de nieuwsbrief”) en kan toestemming net zo eenvoudig worden ingetrokken als gegeven?
  • Is je toestemmingsvraag specifiek? Wordt ieder beoogd gebruik duidelijk genoemd?
  • Kun je bewijzen dat iedere betrokkene toestemming heeft gegeven? En hoe lang bewaar je dat bewijs?
  • Zijn je privacyverklaringen al herschreven in duidelijke taal die geschikt is voor de doelgroep? Of heb je nog steeds dat typische wollige privacyjargon dat wij juristen prettig leesbaar vinden?
  • Heb je al gekeken of je een privacy officer nodig hebt?
  • Heb je al je processen nagelopen op verwerkingen van persoonsgegevens, en per verwerking vastgelegd wat er gebeurt en waarom dat niet een onsje minder kan?
  • Heb je daar ook bij gezet of je het risico verhoogd inschat, en zo ja een privacy impact assessment uitgevoerd?

De AVG kent natuurlijk nog véél meer aandachtspunten, maar als je deze op orde hebt dan moet je een heel eind komen.

(Terzijde: in ons boek De Algemene Verordening Gegevensbescherming lees je exact wat elk artikel van de Privacyverordening betekent voor de praktijk. Het verschijnt in februari, dus teken nu in!)

Arnoud

8 reacties

    1. Meh. In 2017 zullen opeens al diverse bedrijven beseffen dat ze allemaal aanpassingen moeten doorvoeren waar ze nog niet op voorbereid waren. Het kost immers best wat tijd om de nieuwe regels correct te implementeren en betekent vaak dat ander werk even stil komt te liggen. Daarnaast zijn veel sites al uit ontwikkeld en is men meer bezig met alleen onderhoud van de site, wat een simpele web developer meestal al kan doen. Bedrijven moeten opeens weer experts inhuren om alle nieuwe regels te implementeren en die experts beginnen schaars te worden. (Vooral ook omdat er steeds weer nieuwe web-technieken, talen en frameworks bij komen.)

      Maar besef ook dat deze nieuwe wetgeving dus 261 pagina’s lang is en bedrijven mogelijk niet eens weten wat er allemaal voor hen van toepassing is. Bedrijven die nu al gaan kijken zijn misschien nog net op tijd als de wet van kracht wordt. Bedrijven als Microsoft, Google en Facebook zijn hier vast allang mee bezig en hebben wel op tijd een oplossing. Nee, het zijn vooral de kleinere bedrijven die nog niet beseffen dat deze wet straks van toepassing is. Ik heb het gezien bij de Cookie-wetgeving en mijn werkgever toendertijd. Na meerdere malen aangegeven te hebben dat we toch echt een cookie-popup moesten toevoegen voordat de wet uiteindelijk in werking trad werd uiteindelijk besloten om deze toe te voegen. Helaas, nadat de wet in werking trad en het bedrijf erop was aangesproken door enkele klanten…

  1. Ik durf te wedden dat de kleinere webshop hierin totaal onwetend is en er dus ook helemaal niet mee bezig is en er dus ook niets mee zal doen. Zoals ik vandaag de dag nog steeds webshops aantref die in strijd handelen met de wet.

    1. Het zijn niet zozeer de kleinere webshops die hierin onwetend zijn, maar de web developers die zij inhuren voor het maken van die websites. Er zijn teveel amateurs actief met het bouwen van websites wat regelmatig resulteert in slechte websites maar nog vaker in websites die niet conform de wetgeving zijn. En zelfs diverse professionele web developers zijn vaak niet op de hoogte van de wetgeving, wat ik helaas vaak genoeg heb moeten waarnemen. Zo heb ik zelfs mijn manager en een klant moeten wijzen op diverse punten in de algemene voorwaarden op de site van de klant die helemaal in strijd waren met de Nederlandse en Europese wetgeving. (En nog werd er niets veranderd, behalve dat ik dan maar naar een andere werkgever ging.)

      1. No offense, maar het is niet de verantwoordelijkheid van de web developer om te zorgen dat de website voldoet aan de wet, maar de opdrachtgever. De bouwer bouwt volgens de specificaties van de klant. Een slimme bouwer geeft advies en geeft dingen als dit aan (als hij ze weet), maar uiteindelijk is het de beslissing van de opdrachtgever. Zou ook mooi wezen, dan moet je als web devver ook gelijk ineens een halve (of hele) advocaat zijn. Nee, requirements worden vastgesteld door de business, de web developer implementeerd die requirements vervolgens.

        1. Klopt. Maar als zowel de web developer alsmede de opdrachtgever onwetend zijn over de wetgeving, en velen zijn dat, dan krijg je vanzelf dit soort problemen. Maar een web developer zou op de hoogte moeten zijn van deze regelgeving en dus zijn klanten correct informeren over deze regelgeving, wil hij goed werk verrichten. Een aannemer kan immers ook niet klakkeloos gaan bouwen wat zijn klant hem vraagt!

          De vraag is uiteindelijk of straks de opdrachtgevers claims kunnen neerleggen bij de web developers omdat die onjuiste voorlichting hebben gegeven. Immers, iedere web developer zou tegenwoordig moeten weten dat de cookie-popup verplicht is. Onlogisch dus indien veel websites deze alsnog vergeten…

  2. Zijn er ook regels die gelden voor crossdomain dataverzamelaars zoals Google, Facebook en al die advertentiebedrijven mbt het verkrijgen van toestemming vooraf en de noodzaak van alle die verzamelde gegevens?

    1. Daarvoor moet je bij de EU zijn. De nieuwe e-privacy regels zouden een einde moeten maken aan ’third-party’ cookies zonder uitdrukkelijke toestemming.

      Maakt op zich niet uit natuurlijk, want mensen krijgen gewoon een knop waarmee direct een AWS server wordt opgezet die first-party analytics request direct doorsluist naar je Firebase account. “Ja, maar het is een first-party cookie!”

      Als je geïnteresseerd bent daarin, hier de Twitter hash-tag; #ePrivacy17 (https://twitter.com/search?q=%23eprivacy17&src=tyah)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.