Gaat nu echt alles verboden worden onder de AVG?

| AE 9433 | Privacy | 10 reacties

Een lezer vroeg me:

Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel geen enkel bedrijfsproces kan nog blijven bestaan. En de boetes zijn enorm. Dit kan toch niet goed gaan, deze wet?

Dat de AVG veel gaat veranderen in de praktijk staat als een paal boven water. Maar veel verhalen die je leest, zijn vooral bedoelt om urgentie (of onaardig gezegd paniek) op te roepen bij de lezer.

De fundamentele principes uit de AVG zijn hetzelfde als uit de Wbp die we nu al een kleine 17 jaar hebben. Er moet een grondslag zijn om met persoonsgegevens te gaan werken, je moet zorgen voor goede beveiliging en mensen moeten hun rechten kunnen halen. Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat). Ook moeten mensen hun hele dossier kunnen opvragen, in plaats van alleen maar inzien.

Natuurlijk zijn er wel verschillen. Zo is het vragen om toestemming moeilijker geworden: dat moet kort gezegd apart van andere vragen en vrijwillig – “geef toestemming of rot op” mag alleen nog als dat vooraf en heel duidelijk gebeurt. De privacyverklaring moet in eenvoudiger taal (taalniveau B2, niet C1 of C2 dat we nu altijd zien). Gegevens zijn nu eerder persoongegeven dan voorheen. En zo kan ik nog wel even doorgaan.

Maar ik zie het vooral als accentuering van het belang van zorgvuldige omgang met persoonsgegevens, iets dat we in het verleden nooit echt hadden omdat er geen boetes op overtreding stonden. Plus: in de VS bestond die zorg om persoonsgegevens nooit, dus de ICT-cultuur heeft nooit zo leren omgaan met persoonsgegevens als ze dat wel heeft met zeg aansprakelijkheid of sluiten van contracten. Het is die cultuuromslag waar nu al deze pas-op-de-wereld-vergaat berichten door komen.

Arnoud

Hoe veel overgangsrecht krijgen we bij de Privacyverordening?

| AE 9200 | Privacy | 8 reacties

Een lezer vroeg me:

Op 25 mei volgend jaar treedt de Privacyverordening in werking, las ik. Dus vanaf dan krijgen we al die strenge nieuwe regels over toestemming, privacyverklaringen en datalekken, met boetes tot een paar miljoen per overtreding. Maar wat ik nergens kan vinden, is hoe veel overgangsrecht we dan krijgen om onze systemen en dergelijke aan te passen. Hoe veel jaar is dat?

Dit is misschien een tikje pijnlijk maar het ding is al in werking en we zitten al in het overgangsrecht. Op 25 mei vorig jaar werd de Privacyverordening aangenomen, en twee jaar daarna wordt hij “van kracht” oftewel dan gelden al die regels écht. Die twee jaar is de overgangsperiode.

Volgens mij beseffen nog maar héél weinig mensen dit. En ik durf nu al wel te voorspellen dat we straks in 2017 een heleboel boze berichten gaan lezen dat men zich overvallen voelt door die nieuwe wet en alles dat daarvoor “ineens” moet worden gedaan, inclusief hernieuwde toestemming vragen, bewerkersovereenkomsten herzien en de documentatie voor alles op orde hebben.

Maar wie het goed wil doen, kan beter nú al aan de slag. Een paar aandachtspunten:

  • Is je toestemmingsvraag losgekoppeld van andere vragen (dus niet “Ik bestel en wil de nieuwsbrief”) en kan toestemming net zo eenvoudig worden ingetrokken als gegeven?
  • Is je toestemmingsvraag specifiek? Wordt ieder beoogd gebruik duidelijk genoemd?
  • Kun je bewijzen dat iedere betrokkene toestemming heeft gegeven? En hoe lang bewaar je dat bewijs?
  • Zijn je privacyverklaringen al herschreven in duidelijke taal die geschikt is voor de doelgroep? Of heb je nog steeds dat typische wollige privacyjargon dat wij juristen prettig leesbaar vinden?
  • Heb je al gekeken of je een privacy officer nodig hebt?
  • Heb je al je processen nagelopen op verwerkingen van persoonsgegevens, en per verwerking vastgelegd wat er gebeurt en waarom dat niet een onsje minder kan?
  • Heb je daar ook bij gezet of je het risico verhoogd inschat, en zo ja een privacy impact assessment uitgevoerd?

De AVG kent natuurlijk nog véél meer aandachtspunten, maar als je deze op orde hebt dan moet je een heel eind komen.

(Terzijde: in ons boek De Algemene Verordening Gegevensbescherming lees je exact wat elk artikel van de Privacyverordening betekent voor de praktijk. Het verschijnt in februari, dus teken nu in!)

Arnoud