Op 2 november hield AuditPeople een event voor Auditors, Riskmanagers en Compliance specialisten. Het event had de titel: ‘Implementatie AVG: Een praktische aanpak’. In dit artikel zullen alle onderwerpen die besproken zijn tijdens het event samengevat worden. Zoals ondertussen welbekend vervangt de Algemene Verordening Gegevensbescherming (AVG), in Europa bekend als: General Dataprotection Regulation (GDPR), per 25 mei van dit jaar de huidige Wet Bescherming Persoongegegevens (Wbp). Tijdens het event werden de deelnemers meegenomen in de wereld van de verschillen tussen de Wbp en de AVG en de implementatie van de AVG door John Storms en Margreet Löwik. John en Margreet houden zich in hun dagelijkse werk bezig met de implementatie van de AVG.

Allereerst is tijdens het event besproken waarom de AVG wordt ingevoerd. De huidige Wbp stamt uit 1995, dit is een behoorlijke tijd terug. Zeker met het oog op de technologische ontwikkelingen die sinds 1995 hebben plaats gevonden. Dankzij deze ontwikkelingen, zoals mobile devices en Internet of Things, laten wij steeds meer gegevens op steeds meer verschillende plekken achter. Hierdoor ontstaan de volgende vragen: ‘Waar komen deze gegevens terecht?’, ‘Wat gebeurt er met deze gegevens?’ en ‘Zijn ze goed beveiligd?’. Tot slot, zijn er tegenwoordig vaker incidenten omtrent data lekken; dit is voor de Europese Unie een reden geweest om nieuwe wetgeving te ontwikkelen.

Vervolgens was er aandacht voor de verschillen tussen de Wbp en de AVG. Een aantal besproken verschillen zijn:

  • Uitbreiding bevoegdheden toezichthouder – De onderzoeksbevoegdheden van de toezichthouder zijn verruimd, zo heeft zij nu toegang tot alle verwerkingen van persoonsgegevens en mag ze controles uitvoeren. Daarnaast is de boetebevoegdheid verhoogd.
  • Rol functionaris gegevensbescherming – Ook met de Wbp was er al een functionaris. Echter, met de AVG wordt de rol van de functionaris vergroot, waardoor de aantoonbaarheid van de naleving wordt verhoogd.
  • Gewijzigde definitie persoonsgegevens – De definitie van een persoonsgegeven is verbreed, hierdoor vallen er meer gegevens in de categorie persoonsgegevens. Een voorbeeld van een nieuw persoonsgegeven is een IP-adres.
  • Wettelijke grondslag of toestemming nodig voor verwerking – Binnen de AVG is het van belang dat de klant toestemming geeft voor een handeling met betrekking tot een persoonsgegeven door middel van een duidelijke, actieve handeling. Daarnaast moet toestemming intrekken even eenvoudig zijn als toestemming geven.
  • Strengere eisen verwerkersovereenkomst – Binnen de AVG is de verwerkersovereenkomst (een overeenkomst die gesloten wordt met partijen die gegevens verwerken voor een organisatie) niet nieuw, er worden alleen strengere eisen aan deze overeenkomst gesteld. Een voorbeeld: een data lek moet binnen 72 uur gemeld zijn.
  • Aanhouden van eigen register – Onder de Wbp werd een register van verwerkingen beheerd door de Autoriteit Persoonsgegevens, onder de AVG ligt deze verantwoordelijkheid bij de verantwoordelijke, dus organisatie, zelf.
  • Toevoegen van extra rechten van betrokkenen – Een van de belangrijke veranderingen: ‘het recht op wissen gegevens’, hierbij moet er ook aan een betrokkene aangetoond kunnen worden dat alle gegevens gewist zijn. Sommige van deze rechten zijn conflicterend met andere wetgeving.

Tot slot was er tijdens het event ook aandacht voor de implementatie van de AVG. Het is van belang om een gefaseerde aanpak te hanteren, start bijvoorbeeld eerst met een GAP analyse: ‘waar zitten de verwerkingen binnen uw bedrijf met gevoelige gegevens?’. Om dit inzicht te verkrijgen, gaf John in zijn presentatie aan dat een goed startpunt van de implementatie het aanhouden van een eigen register met persoonsverwerkingen kan zijn. In dit register worden immers alle verwerkingen bijgehouden. Ook is er op dit moment tooling beschikbaar die kan helpen bij het verkrijgen van dit overzicht. Tijdens de presentatie kwam de tool PrivacyPerfect aan bod.

Nadat dit inzicht is verkregen, kan er gebruik worden gemaakt van what-if scenario’s, waardoor het mogelijk is om heel concreet inzicht te krijgen in bijvoorbeeld de gevolgen van de verschillende rechten van betrokkenen. Deze scenario’s kunnen vervolgens het startpunt zijn voor een verdere ontwikkeling van het beleid omtrent de verwerking van persoonsgegevens.

Los van deze verschillende fasen tijdens de implementatie van de AVG, is het van belang om het volledige commitment van de Raad van Bestuur van de organisatie te hebben. Dankzij het feit dat veel organisaties met de implementatie van de AVG eigenlijk ook bezig zijn met een inhaalslag ten opzichte van de Wbp, moeten er snel veel keuzes gemaakt kunnen worden. De ervaring leert dat dit gemakkelijker gaat met het commitment van de Raad van Bestuur.

John Storms schreef al eens eerder over de implementatie van de AVG. Lees hier zijn volledige artikel: http://www.auditpeople.nl/nieuws/implementatie-avg/.

Clarissa van der Most. Clarissa is audit trainee bij AuditPeople.

ARC People verbindt drie sterke labels: AuditPeople, RiskPeople en CompliancePeople. Ieder van deze labels focust op een eigen specialistisch vakgebied. Opdrachtgevers worden vanuit die specialismes voorzien in de juiste mensen en kennis. www.arcpeople.nl