Je hebt nog 64 dagen om de AVG te implementeren #64totavg

Vandaag zijn er nog precies 64 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Deze nieuwe Europese privacywet is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens. Ook andere Europese landen hebben hun eigen privacywetgeving. Al deze wetgeving komt te vervallen; de AVG wordt vanaf 25 mei de énige privacywet, waar mensen zich direct op kunnen beroepen. En wat een verandering gaat dat met zich meebrengen.

Een van de grootste mythes rond de AVG is dat deze nieuwe wet vooral voor juristen van belang is. Dat is niet zo. De AVG is zó breed van toepassing en stelt zó veel regels dat het iedereen aangaat. Van groot bedrijf tot kleine vereniging en van eenmansdokterspraktijk tot goed doel met duizenden donateurs. Voldoen aan de AVG is geen kwestie van nieuwe juridische documenten en een mooie toestemmingsverklaring laten tekenen door je klanten.

Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder? Ik noem de AVG daarom vooral een compliance-wet. Er moet veel geregeld en gedocumenteerd worden. Ook dingen die we altijd gewoon losjes deden of nooit over nadachten.

Meer lezen over wat je concreet moet doen, doe je in het Praktijkboek AVG Compliance dat begin april verschijnt.

De AVG komt steeds dichterbij, en daarmee zie ik ook het aantal vragen over deze wet toenemen. Veel praktische vragen (van het soort mag X nog) maar ook meer en meer fundamentele vragen over bedrijfsprocessen of marketingtechnieken. Dat gaat echt nog een grote klus worden de komende jaren, het voelt soms echt als een nieuw evenwicht zoeken in hoe internet kan werken en hoe bedrijven daarin hun plek kunnen vinden en behouden.

Ik durf de stelling wel aan dat je tegenwoordig als juridisch kantoor beter een Privacy/ICT kantoor kunt zijn dan een IE/ICT kantoor. IE/ICT is wel zo’n beetje klaar als onderwerp.

Arnoud

8 reacties

  1. Ik ben deze week al meerdere keren gebeld door een (jurist bij de) gebruiker hoe het zit met de AVG. Voldoen wij, voldoet de overeenkomst, wat als …

    Tot deze week lag het gemiddelde op 1 belletje per week schat ik.

    Men is blijkbaar ergens wakker van geworden?

  2. De AVG is zó breed van toepassing en stelt zó veel regels dat het iedereen aangaat.

    Is de AVG dan ook van toepassing op consumenten? Kan ik met de AVG collega’s/kennissen/familie afstraffen die mijn gegevens aan derden geven?

    1. Dat hangt er vanaf. Art 2 lid 2

      Deze verordening is niet van toepassing op de verwerking van persoonsgegevens: (…)
      c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;

  3. Voor een van mijn klanten in de gezondheidszorg ben ik samen met hun bezig met de AVG gevolgen. Daar heb ik een specifieke vraag over. De klant werkt met laptops op meerdere locaties. Vanwege het risico van laptops (diefstal etc) hebben we deze 5 jaar geleden al voorzien van schijfencryptie (Bitlocker) plus ontsluiting via een met pincode beveiligde usb-stick (DatAshur). Tot zover gaat het goed: immers, je moet én de pincode (7 cijferig) van de stick weten en daarna het wachtwoord van Windows om bij de gegevens te komen. Met deze 2FA voldoen we aan de AVG. Maar… deze beveiliging geldt alleen tijdens het opstarten van de laptop. Als de laptop is opgestart, is alleen het wachtwoord nog de beveiliging. Ze ‘locken’ de laptop wel als ze koffie gaan halen of zo, maar dan is het in feite een 1FA. Komen we hiermee weg ihkv de AVG? Zo niet, wie weet dan een oplossing hiervoor?

    1. De AVG noemt geen specifieke maatregelen, maar zo te horen heeft jouw klant al voldoende maatregelen genomen. De AVG legt een verplichting op redelijke maatregelen te treffen, niet om al het mogelijke te doen.

      Als ik zo nadenk is er een mogelijke maatregel die de beveiliging kan verbeteren zonder het werk teveel in de weg te zitten, ik denk dan aan een draadloze (bluetooth) sleutel die de werknemer op zijn lichaam draagt, waarbij de computer automatisch lockt als de sleutel op te grote afstand is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.