Je hebt nog 128 dagen om de AVG te implementeren #128totavg

Vandaag zijn er nog precies 128 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Deze nieuwe Europese privacywet gaat een hoop veranderen, en juristen en consultants draaien massaal overuren om hun klanten compliant te krijgen. Maar steeds meer raak ik ervan overtuigd dat het een fout is om de AVG te zien als een nieuwe wet die juridische maatregelen vereist, oftewel iets dat je aan de juridische afdeling kunt overlaten om met een nieuwe privacyverklaring, bewerkersovereenkomst en standaardtekst voor toestemming te laten komen.

Zoals ik 128 dagen geleden al schreef, voor een groot deel is de AVG aanscherpen van de regels uit de huidige wetgeving. Dat echt alles verboden zou worden, is dan ook een tikje overtrokken. Het is vooral een kwestie van zorgvuldig(er) moeten gaan werken. Onderbouw waarom je die gegevens nodig hebt. Leg vast hoe lang je ze bewaart, en hoezo bewaar jij backups 10 jaar?

Het uitwerken van die zorgvuldigheid is precies waar de grootste pijn blijkt te zitten, in mijn ervaring. Het vereist namelijk een hele nieuwe manier van denken: persoonsgegevens krijg je niet zomaar, je moet het uitwerken en motiveren. En dat is echt iets nieuws, maar wel iets nieuws waar je als bedrijf over na moet denken. De jurist of consultant kan dat niet, althans niet alleen. De AVG dwingt tot veranderen van je bedrijfsprocessen, niet alleen je privacyverklaring.

Nog steeds zie ik mensen die denken dat het wel meevalt, en denken dat ze wegkomen met wat mooie nieuwe teksten, een Excelsheet dat als verwerkingsregister moet dienen en een herschreven toestemmingsvraag voor bij de nieuwsbrief. Maar dat is slechts één klein deel van het verhaal. Compliance vereist meer dan alleen de voorkant oppoetsen. Het gaat juist om wat er vervolgens gebeurt, die bedrijfsprocessen waarin besloten wordt gegevens te hergebruiken of die archivaris die onder het mom “beter bewaren dan kwijt zijn” backups nimmer opschoont of weggooit.

Gisteren sprak ik een journalist die me vroeg hoe ik bepaal of een organisatie voldoet aan de AVG. Dat is natuurlijk een iets te complex onderwerp om met één vraag te toetsen, maar als kort-door-de-bocht vuistregel kun je wel letten op hoe men bewaartermijnen vaststelt, en wat ze doen met bekende onderwerpen als sollicitatiebrieven of registratie van bezoekers. Dat zijn typisch van die dingen die er normaal tussendoor gedaan worden en dus over het hoofd gezien worden als compliance niet op de goede manier wordt ingevoerd.

Arnoud

37 reacties

  1. iets nieuws waar je als bedrijf over na moet denken

    En niet alleen als bedrijf, maar ook als sportvereniging, zangkoor, kerk, school, hobbyclub… Dat zijn niet altijd mensen die de achtergrond hebben om de consequenties te overzien, of het geld om een jurist of IT-consultant in te huren. Dan wordt al gauw geroepen dat er helemaal niets meer mag, of juist dat die wet onzin is. Concreet voorbeeld: in onze kerk worden onder het kopje “meeleven” op de website de namen van zieken genoemd, zodat gemeenteleden een attentie kunnen sturen. Dit gebeurt nu alleen nog maar als de betrokkene daar toestemming voor heeft gegeven, resulterend in veel minder vermeldingen.

      1. Typisch geval van wetgeving schiet zijn doel voorbij. Als het nu gaat om ziektekostenverzekeraars die even een lijstje met naam en toenaam publiceren…. Het gaat hier om een goedbedoelde manier om zieke mensen een hart onder de riem te steken. Daar zou niets mis mee moeten zijn. Soms verlang ik gewoon terug naar 30 jaar geleden toen er nog geen internet en massaal datagraaien bestond.

        1. Typisch geval van ‘maar het is toch goed bedoelt…’ . Toch jammer als die goede bedoelingen er voor zorgen dat je die sollicitatie misloopt omdat je ernstig ziek bent geweest en een werkgever toch liever voor een minder risico gaat…

  2. Ik heb me met regelmaat (boos) uitgelaten over hoe bij een faillissement een curator alles met een klantenbestand mag. Zoals doorverkopen aan de hoogste bieder – alles om maar zoveel mogelijk waarde uit de boedel te halen. Wordt dat dankzij de AVG ook eindelijk eens een halt toegeroepen?

        1. Ja, het valt onder de verordening. Maar die curator kan dat effectief aan zijn laars lappen. Als hij die boel illegaal doorverkoopt dan kun je hem wel aanklagen maar dat is onder naam van het failliete bedrijf dus kun je met je claim achteraan sluiten bij een geplukte kip.

          1. De kopende partij kan vervolgens echter niets met deze informatie omdat ook deze het bezit/ gebruik moet verantwoorden, en de personen in kwestie hebben nooit deze partij toestemming gegeven hun gegevens te gebruiken.

  3. 10 jaar alles bewaren rond bestellingen en facturen is voor zover mij bekend zelfs vereist door de huidige wetgeving rond omzetbelasting en het bepalen conform het percentage van welk land het aangegeven moet worden.

          1. Hoe lang blijven straks kadastergegevens en die in het handelsregister nog bewaard? Na 40 jaar kan het kadaster wel geschoond, want dan zijn alle hypotheken al afgelost en wie interesseert het wie daarvoor de eigenaar was?

            Nou, mij dus. Vroeger gaven gemeenten adresboeken uit waar in straatvolgorde alle bewoners met naam en toenaam vermeld stonden. Dat is doorgeschoten naar de andere kant, en terecht dat dat nu niet meer gebeurt.

            Maar die oude boeken zijn bewaard en gedigitaliseerd en staan nu vaak doorzoekbaar op het web. Zo kon ik bijvoorbeeld zien van wie mijn opa, die ik nooit gekend heb, bijna 100 jaar geleden een bedrijfje moet hebben overgenomen, want daarvoor stond er bij dat adres een andere naam. Dat vind ik persoonlijk interessant (weer die vermenging van publiek/zakelijk en privé).

            Komende generaties kunnen dat straks niet meer, want dan zijn die gegevens weggeflikkerd, inclusief archieven en back-ups, onder het motto “er is geen noodzaak deze persoonsgegevens vast te houden”.

            Dat vind ik dwaas, er worden verkeerde afwegingen gemaakt. Geschiedenis, ook van niet-beroemde personen, hoort altijd boven privacy en de waan van de dag te gaan.

            Nog een godwinachtigheidje dan maar: de privacyregels worden zo het ISIS van Europa. ISIS blies oude tempels op omdat die volgens de islam niet kosher zijn. De EU dwingt archieven te vernietigen omdat de huidige generatie er het historisch belang niet van inziet. Op dezelfde manier zijn rond 1870 talloze stadsmuren en torens van steden voorgoed vernietigd, omdat ruimte voor het verkeer belangrijker werd geacht.

            1. Prima om archieven aan te leggen en te bewaren, maar denk daar wel van tevoren even goed over na en laat dat over aan de instanties die dat netjes kunnen beheren. Gebeurt het netjes en in het algemeen belang? Dan beloont die grote boze AVG je met de nodige uitzonderingen en hoeft er niks opgeblazen te worden.

              1. Prima om archieven aan te leggen en te bewaren, maar denk daar wel van tevoren even goed over na […]

                Nadenken? Ik was beginnend vertaler, werd lid van fora als Lantra-L (op basis van de software LISTSERV; wie kent dat nog? wordt nog steeds voor diverse dingen gebruikt). Daar waren discussies over terminologie, werkwijzes, zakelijke aanpak, omgang met klanten, belastingregels (btw-buitenland is een klassieker, bijvoorbeeld), noem maar op.

                Als ik iets zag waar ik later nog eens iets aan dacht te hebben, schoof ik dat bericht naar een aparte e-mailfolder. Later categoriseerde ik dat nog wat.

                Sommige van die berichten zijn dus 18 of 20+ jaar oud. En dan zou ik nu dat moeten gaan deleten, of anonimiseren wat technisch helemaal niet kan zonder desastreuze gevolgen, omdat er steeds de naam bijstaat van de collega die de vraag of tip of oplossing indertijd postte? Zodat ik die oplossing nu niet meer mag raadplegen, want die zou ik dus weggegooid moeten hebben? Dat is toch raar? Ik weiger dat dus.

                en laat dat over aan de instanties die dat netjes kunnen beheren.

                Instanties? Sommige van die fora hebben online archieven, meestal alleen toegankelijk voor wie lid is. Maar iets terugzoeken in die enorme berg is moeilijk. Ik heb een privéselectie met categorisering. Nog steeds lastig er iets in de vinden, maar als ik het wil, lukt het wel.

                Gebeurt het netjes en in het algemeen belang?

                Nee, in MIJN belang, zodat ik er af en toe iets in terug kan zoeken.

                Dan beloont die grote boze AVG je met de nodige uitzonderingen en hoeft er niks opgeblazen te worden.

                1) De AVG bestond in 1995 nog niet. 2) Als ik het goed begrijp zijn vrijwel de enige uitzonderingen in de nieuwe AVG: a) toestemming (ondoenlijk om te gaan vragen aan misschien wel duizenden collega’s); b) wettelijke noodzaak.

                Dus: het mag niet meer. Maar ik doe het toch. Bekijk het maar.

                PS. Ik geef Arnoud bij dezen toestemming deze reactie te laten staan, zodat hij die niet over vijf jaar hoeft te wissen in het kader van een grote Iusmentis-geschiedvervalsingsoperatie.

  4. Misschien ben ik wat cynisch, maar uit reacties van AP zelf heb ik het idee dat het maar een halfzacht blijft. Met andere woorden: Dat er massaal niet aan de wet gehouden wordt, maar dat hiertegen nagenoeg geen handhaving is.

    Een beetje een IPv6 gevoel zeg maar. Ik zou het jammer vinden.

  5. en hoezo bewaar jij backups 10 jaar?

    Dus mijn archief van 23 jaar met terminologie- en andere discussies met collega-vertalers moet ik nu gaan wegsmijten, omdat de namen en toenmalige e-mailadressen erbij staan? (E, o gruwel, zelfs IP-adressen.)

    Ik ga het niet doen hoor, al gaat de overheid op z’n kop staan. Ik bewaar dat gewoon en ik hou er veel back-ups van. Ik blijf erbij, die privacygekte in de EU is doorgeslagen. Het schiet z’n doel ver voorbij.

    Kinderfoto’s van m’n nu 30-jarige kinderen moeten zeker ook verplicht door de shredder? Want ja, persoonsgegevens! Wat erg!

    1. Volgens mij geldt voor foto’s vooral dat als beide partijen accepteren dat de foto’s er zijn en in familie- en kennissenkring mogelijk ingezien kunnen worden, dat er geen probleem is. En zelfs bij een verziekte sfeer moet de eigenaar van de foto wel heel rare dingen uithalen om er bij de rechter echt iets mee te kunnen.

      En werkgerelateerde discussies over de dingen die je noemt, kun je makkelijk anonimiseren lijkt me zo, als je er al iets mee zou moeten.

      1. Ik doe er niks mee, behalve misschien eens in de drie jaar of zo kijken van, hé die en die is nu ook op Facebook, was die 18 jaar geleden niet ook in die oude rondzendlijst waar nu nauwelijks meer berichten op zijn? En hebben we het al niet tig over accu of batterij gehad en wat zeiden mensen er toen over? O ja, die, wat zou daarvan geworden zijn?

        Maar: niet alleen “er iets mee doen” moet ik schriftelijk verantwoorden, ook het überhaupt hebben van de gegevens en het doel daarvan. Is mijn doel “het documenteren van m’n eigen leven” altijd geldig? Ik vind van wel.

        1. Sorry, ik was wat vaag. Ik bedoelde als van de AVG al iets zou moeten met die documentatie, is anonimiseren waarschijnlijk niet heel lastig. Ik vermoed dat je bij deze documentatie geen probleem hebt, tenzij iemand je expliciet vraagt om het te verwijderen of als je het wil publiceren (zelfs al is dat in een gesloten Facebook-groep).

          1. Hoe ga ik oude e-mails in een unix-opslagformaat anonimiseren? De e-mailadressen en namen schrappen? Dan werkt de index niet meer, dan kan Eudora ze niet meer vinden. En om die namen gaat het vaak nou juist. Het zijn relaties, het zijn herinneringen.

            Ik denk echt dat die EU’ers daar allemaal niet goed over nagedacht hebben. Ze stellen één principe, privacy, voorop en daar moet alles voor wijken. Met die cookiewet is het net zo: het werkt totaal niet, maar veroorzaakt wel voortdurend overlast.

            De EU zou een Raad van State en/of een Senaat moeten hebben, die zulke wanproducten tijdig afschiet.

            1. Volgens mij is er al duidelijk aangegeven dat de meeste doemscenario’s die je opwerpt, waarschijnlijk geen enkel probleem zijn. Je bent bang voor je eigen nachtmerrie privacywetgeving en niet de AVG, wat je vervolgens afreageert op de EU. Echter, zover ik heb gelezen tot zover, is de AVG vooral een herhaling en verduidelijking van al bestaande privacywetgeving, met als belangrijke aanscherping dat je meer moet uitleggen waarom je iets bewaart.

              En als we naar het huidige politieke klimaat kijken: Dit is precies wat er misgaat. Er worden onjuiste doembeelden opgeroepen die vervolgens worden gebruikt om mensen op te zetten tegen wetgeving en politieke tegenstanders en om isolationistische gevoelens aan te wakkeren. Een aantal blogs geleden hadden we het over de gevaren van nepnieuws en hoe het aan te pakken. Dus ga vooral naar Arnoud’s privacytraining AVG, in plaats van je bang te laten maken door moeilijke wetteksten en clickbait.

  6. Kranten uit 1920 bij de Koninklijke Bibliotheek, pas gedigitaliseerd. Moet allemaal weg, hup, deleten die rommel, privacy, mensen, er staan namen van mensen in, en zelfs foto’s. De geschiedenis moet verplicht gewist van de EU, want privacy is de nieuwe God.

    Echt waanzin.

    1. Kranten zijn gepubliceerd en de bewaartermijnen van wanneer het is opgemaakt gelden. Met name dat het gepubliceerd is, is daarbij van belang. Bovendien is de Koninklijke Bibliotheek een overheidsinstelling, wat betekent dat ze met een strengere Wbp te maken hadden, waardoor er met de AVG niet gek veel verandert. Het archief mag ook dossiers of documenten uitzonderen van vernietiging, of de vernietigingstermijn verlengen of verkorten, zolang ze dit maar voldoende uitleggen en op papier zetten. Ik zie voor een digitaal kopie-bestand geen enkel probleem.

  7. Muziek, mag ook niet meer van de privacypolitie. Eleanor Rigby van de Beatles, persoonsnaam, mogelijk van bestaande persoon, moet weg. You’re so vain, gaat misschien over Mick Jagger, persoonsgegeven, dus verboten. Alle kopieën van die entartete Musik: ook verplicht vernietigen.

    Grafstenen, na 7 jaar verplicht ruimen, want er staan namen, datums en familierelaties op. Soms zelfs medische gegevens, “na een moedig gedragen lijden”. Mag niet meer, weg ermee, alles voor de privacy, die hebben we dan tenminste nog wel, hoera!

    1. Godwin, je bent af. En meer algemeen: haal even adem, het valt echt mee. De AVG kan niet worden ingezet tegen uitingen die onder de vrijheid van meningsuiting of kunst vallen, en handelingen in de privésfeer vallen er ook buiten. Grafzerken en overlijdensberichten zijn sowieso geen persoonsgegevens.

      1. Goed, ik weet wel dat ik chargeer, maar toch vraag ik me serieus af of de oude, en nog meer de nieuwe regels naar de letter niet zulke absurde gevolgen kunnen hebben.

        En namen van nabestaanden in een overlijdensbericht zijn toch wel persoonsgegevens? Die staan er soms bij, ook wel eens in de krant. Overledenen zelf hebben geen privacy meer, als ik het goed begrepen heb — en dat is omgekeerd ook weer een beetje raar.

        Privé en werk lopen bij mij sterk door elkaar.

        Voorts verklaar ik hierbij mijn hele leven en alles wat daarover in mijn computer en back-ups staat, tot kunst. Dat is mijn mening en die uit ik.

  8. Wat moet er met aftiteling van films gebeuren? Daarin staan immers ook namen van mensen (=persoonsgegeven), en het kan zijn dat iemand die heeft meegewerkt aan een slechte film dat graag gewist ziet worden. Zeker als je “voorbijganger #5” was lijkt me de waarde om zoiets te bewaren vrij laag.

    Wat als die film al op dvd is uitgebracht en bij retailers ligt? (of, nog in de budgetbak ligt?)

    1. Bij verwerkingen voor het doel dat binnen de vrijheid van meningsuiting of kunst valt, kun je gegeven toestemming niet intrekken. Sta je dus met toestemming op de aftiteling, dan is dat voor de eeuwigheid. Het wordt een ander verhaal als iemand zo’n slechte film van toen je 18 was je na gaat dragen wanneer je zeg 65 bent. Heeft dat nieuwswaarde? Zo niet, dan biedt de AVG verhaal tegen die roddel (ook al is ‘ie waar), in essentie is dat hetzelfde als de discussie rond smaad.

  9. Arnoud schreef “Nog steeds zie ik mensen die denken dat het wel meevalt, en denken dat ze wegkomen met wat mooie nieuwe teksten, een Excelsheet dat als verwerkingsregister moet dienen” Ik zie niet in wat er mis is met een excelsheet als verwerkingsregister. En zeker niet bij kleine (onder de 250 leden?) verenigingen die vermoedelijk excel of een tekstverwerker wel kunnen gebruiken, maar geen mogelijkheid voor of toegang tot uitgebreide andere register oplossingen hebben. Zo’n simpele oplossing past m.i. ook mooi bij overweging 13 “Voorts worden de instellingen, organen en instanties van de Unie, en de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. ” [wel met de vraag of hier en in artikel 30 bewust gekozen is voor de begrippen ‘onderneming’ en ‘in dienst hebben’]

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.