Newsroom

Privacy, we kunnen er echt niet meer omheen!

Op 8 juni jl. vond het derde Nationaal Privacy Event plaats in het prachtige Louwman Museum in Den Haag. In de bijzondere entourage van historische auto's, koetsen en motorfietsen stond het thema ‘The notion of accountability’ centraal. Detron Security Officer Rob Messelink was erbij en brengt verslag uit over wat ons allemaal te wachten staat.

Meer weten? Praat verder met Rob

Rob Messelink, Security Officer
088 44 60 000
LinkedIn

De keuze voor het thema ‘The notion of accountability’, oftewel verantwoordingsplicht, was een logische. Immers, deze verantwoordingsplicht in de Algemene Verordening Gegevensbescherming (AVG, de nieuwe Europese privacywetgeving) heeft ingrijpende gevolgen voor de ‘eigenaren’ van persoonsgegevens. De regelgeving vereist dat het management van organisaties moet kunnen aantonen dat het privacy compliant (accountable) is.

Een hot topic kortom en dat was goed te merken aan de belangstelling voor het event. De volle zaal toont aan dat privacy een aansprekend thema is, dat steeds serieuzer wordt genomen. Al snel werd geconstateerd dat de tijd dringt. Vanaf 25 mei 2018 moet iedereen aan de AVG voldoen. Ook wordt de rol van de Functionaris voor de Gegevensbescherming (FG) steeds belangrijker. Echter, de meeste bestuurders weten nog niet hoe deze rol er inhoudelijk uitziet. Wat wel duidelijk is: zo’n FG houdt onder meer toezicht op de verwerking van persoonsgegevens binnen een organisatie, heeft controlebevoegdheden en behandelt vragen en klachten van mensen binnen en buiten de organisatie.

Een belangrijke constatering is dat er tal van nieuwe ontwikkelingen in rap tempo op ons af komen. Denk aan blockchain (dit is o.a. de basis van Bitcoin), kunstmatige intelligentie, nepnieuws en profiling. Onze samenleving, de traditionele media en de wetgeving zijn hier nog lang niet voldoende op voorbereid. Want wat staat ons bijvoorbeeld te wachten als algoritmes ons beter gaan begrijpen dan wij onszelf? Dat kunnen we ons nu nog lastig voorstellen, maar het is slechts een kwestie van tijd.

De grens tussen fysiek en virtueel en tussen on- en offline is in rap tempo aan het vervagen. Mindhacking – weer zo’n angstaanjagend toekomstconcept – is nu gelukkig nog niet mogelijk. Maar de wereld verandert snel en een gewaarschuwd mens telt voor twee. Zou het niet in de grondwet opgenomen moeten worden dat ieder individu zelf de controle moet kunnen houden over zijn eigen leven en over zijn eigen identiteit? Een mensenrecht 2.0, lijkt me.

Aantoonbare compliancy met de nieuwe privacywetgeving en transparantie is essentieel. De  Autoriteit Persoonsgegevens heeft de 10 belangrijkste stappen op een rijtje gezet, waarmee organisaties zich in het komende jaar kunnen voorbereiden op wat hoe dan ook komen gaat. In het (heel) kort:

1. Bewustwording
Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels.

2. Rechten van betrokkenen
Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten.

3. Overzicht verwerkingen
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

4. Privacy impact assesment (pia)
Onder de AVG kunt u verplicht zijn een zogeheten privacy impact assessment (PIA) uit te voeren.

5. Privacy by design & privacy by default
Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

6. Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen.

7. Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.

8. Bewerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG.

9. Leidende toezichthouder
Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacy-toezichthouder zaken te doen.

10. Toestemming
Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming.

Naast een bijzonder leerzaam event, heeft het Nationaal Privacy Event mij opnieuw duidelijk gemaakt dat er heel wat staat te gebeuren. Ik kan me voorstellen dat je de impact van alle informatie nog niet helemaal kunt duiden. Wil je er meer over weten of ben je op zoek naar gericht advies, neem gerust contact met me op!

Download hier het volledige stappenplan