nieuwsRondetafelgesprek Algemene Verordening Gegevensbescherming

Rondetafelgesprek Algemene Verordening Gegevensbescherming

Op 1 december jl. heeft USG Legal Professionals in samenwerking met Gert-Jan Kroese en Helena Verhagen van Privacy Valley een rondetafelgesprek georganiseerd in 'De Nonnerie' te Maarssen, waarbij de implementatie van de Algemene Verordening Gegevensbescherming ("AVG") centraal stond.

De Algemene Verordening Gegevensbescherming
De nieuwe Algemene Verordening Gegevensbescherming geldt vanaf 25 mei 2016. Op 25 mei 2018 moet de bedrijfsvoering bij organisaties met de AVG in overeenstemming zijn. Reden voor USG Legal om een rondetafel sessie te organiseren, bedoeld voor professionals die de AVG binnen hun organisatie implementeren. Gert-Jan Kroese en Helena Verhagen, partners bij Privacy Valley, gaan in op de verschillende aspecten van de Europese Verordening in een informele setting.

Na een korte introductie steken Gert-Jan en Helena van wal en wordt onder andere gesproken over de boetes die de Autoriteit Persoonsgegevens ("AP") in het kader van de Algemene Verordening Persoonsgegevens kan opleggen. De AP zal hierbij steeds kijken naar de specifieke situatie en de ernst en omstandigheden van het geval. Diverse deelnemers geven aan dat zij binnen hun organisatie vooralsnog niet met boetes te maken hebben gekregen.

Bewustzijn & Beleid
Vanuit de zaal komen veel vragen over het onderwerp ‘Governance & Privacybeleid' en worden specifieke bedrijfssituaties geschetst aan de hand van voorbeelden uit de praktijk. Helena en Gert-Jan stippen aan dat het belangrijk is om een duidelijk privacy-raamwerk neer te zetten en om bewustheid binnen de organisatie te creëren over dit onderwerp. Dat betrokkenheid creëren de nodige inspanning vergt, is een punt van herkenning voor veel deelnemers.

Gert-Jan en Helena menen dat het voor het gebruik van bedrijfsdata van belang is om kritisch te blijven kijken naar de activiteiten van de organisatie en of de opslag en verwerking van data bij die activiteiten passen. Er wordt hardop nagedacht over doelbinding: met welke reden gebruikt een organisatie data en mogen deze gegevens ook voor andere doeleinden verwerkt worden? Haakt dit nog aan bij het oorspronkelijke doel? Het beleid moet wel kunnen aansluiten bij werkgewoontes van mensen, anders bestaat de kans dat mensen erom heen gaan werken door zelf creatieve oplossingen te bedenken. Het is verstandig dat in de aanloop naar 2018 gekeken wordt naar de privacy policy van een organisatie, deze dient dan ook steeds te worden geüpdatet.

Interne en externe transparantie
Met de komst van de AVG dienen organisaties naar buiten toe veel transparanter te worden over de volgende vraagstukken: welke data wordt er verwerkt, met welk doel geschiedt dit, wie heeft er toegang toe, hoe lang wordt data bewaard, wanneer wordt deze data vernietigd en welke risico's kleven er aan de dataverwerking? Ook intern dient er een duidelijk beleid te worden gevoerd met betrekking tot dataverwerking, bijvoorbeeld door middel van het personeelshandboek.

Ook datamapping komt aan de orde. Aanwezige compliance en privacy officers geven aan dat het in kaart brengen van plaatsen binnen hun organisatie waar data verwerkt wordt een omvangrijke klus is.

Hoe kunnen organisaties een overzicht maken van hun verwerkingen? Is dataclassificatie eenvoudig en hoe ga je daarmee om? Ook hier geldt weer: creëer bewustzijn binnen je organisatie! Wat betreft de externe transparantie is de vraag hoe klanten of gebruikers het beste over de verschillende aspecten van privacy geïnformeerd kunnen worden. Informatie hierover zou bijvoorbeeld op een begrijpelijke wijze door middel van icoontjes kunnen worden weergegeven, net als nu via de Kijkwijzer voor tv-programma's. De deelnemers spreken hun enthousiasme hierover uit.

Data Privacy Officer
Een ander onderwerp dat deze namiddag aan bod komt, is de benoeming van een Data Privacy Officer (hierna: DPO). Ondanks dat veel organisaties formeel geen DPO hoeven aan te wijzen, voelt een meerderheid van de aanwezigen wel een druk om binnen de organisatie iemand verantwoordelijk te maken voor privacy en gegevensbescherming.

Privacy Impact Assessment
Helena en Gert-Jan behandelen de betekenis en het nut van een privacy impact assessment ("PIA"). Een PIA is verplicht als er gevoelige data verwerkt worden of als er een groot risico is voor betrokkenen. Het belang van een PIA is dat organisaties duidelijk in beeld krijgen welke stappen ze moeten ondernemen om compliant te zijn en dat ze hier verantwoordelijke voor kunnen aanwijzen. Onder de aanwezigen is een deel al ver met het in kaart brengen van de te nemen acties en een ander deel moet er nog mee starten. Allen geven aan dat ze de periode tot mei 2018 kort achten om alles goed op orde te hebben. Belangrijk is om in ieder geval nu de eerste stappen te zetten om handhaving te voorkomen.

Data in een internationaal speelveld
Internationale datatransfers worden behandeld: de start van Privacy Shield, het gebruik van model clauses, toestemming van de autoriteit en betrokkenen. Helena spreekt de hoop uit dat er binnenkort ook een processor to processor agreement zal komen voor de situatie dat er meerdere bewerkers aanwezig zijn, zonder duidelijke verantwoordelijke. In het verleden was er een duidelijk onderscheid tussen bewerker / verantwoordelijke aan te wijzen, maar tegenwoordig kan een bewerker ook een mede-verantwoordelijkheid dragen, waardoor het onderscheid bewerker / verantwoordelijke vervaagt.

De groep spreekt zich uit over internationale verhoudingen en het risico van forumshoppen bij verschillende nationale autoriteiten. Verder erkent de zaal dat de Nederlandse vertaling van de AVG voor verbetering vatbaar is en dat de Engelse tekst in de praktijk een stuk bruikbaarder is.

USG Legal Professionals kijkt terug op een geslaagde bijeenkomst. USG Legal organiseert jaarlijks meerdere rondetafelgesprekken waarbij actuele onderwerpen centraal staan. Wij hopen u snel te mogen verwelkomen op één van onze bijeenkomsten. 

Voor meer informatie over de dienstverlening van USG Legal Professionals met betrekking tot de implementatie en het toepassen van de Algemene Verordening Gegevensbescherming, kunt u contact opnemen met mr. Joey Neeteson (Accountmanager USG Legal) via 06- 29 080 113 of via joey.neeteson@usglegal.nl

Deel op:
Print of mail deze pagina: