"Tot twee jaar geleden kreeg ik per jaar twee vragen over de Wbp, nu bestaat mijn halve praktijk uit privacyvragen", aldus een juriste die ik onlangs sprak. Haar uitspraak is exemplarisch voor de groeiende aandacht voor privacy door de invoering van de Algemene verordening gegevensbescherming (AVG). Binnen het sociaal domein is privacy al vanaf de decentralisaties een hot topic. De AVG doet er nog een schepje bovenop.
Het sociaal domein heeft een flink aantal uitdagingen als het gaat om de AVG. De klus om alle verwerkingen, het beleid en de uitvoering op orde te krijgen is nog niet geklaard. Tegelijk ontstaat een nieuwe dynamiek doordat bestuurders direct worden aangesproken op hun verantwoordelijkheden om de AVG aantoonbaar na te leven. Verantwoording, dossiervorming en registraties kunnen echter contraproductief werken en de aandacht afleiden van het doel van de nieuwe privacywet. Die is niet alleen gericht op het versterken van de positie van een individu, maar ook op het mogelijk maken van (nieuwe) verwerkingen zonder de dreiging van het privacy-spook. Per saldo kunnen organisaties die hun zaken dankzij de AVG goed op orde hebben, beter focussen op hun doelen en ‘scherper aan de wind zeilen’.
Lees wat er verandert door de AVG, wat de impact daarvan is op organisaties en voor welke uitdagingen de AVG het sociaal domein stelt.
Kortgezegd normeert privacywetgeving de gegevensverwerking: wie mag wat met gegevens doen, waarvoor en hoe lang. De huidige privacywet – de Wet bescherming persoonsgegevens (Wbp) – is de Nederlandse implementatie van de Richtlijn 95/46/EC. Deze Europese richtlijn is vervangen door de Europese verordening 2016/679, de Algemene verordening gegevensbescherming (AVG). Die is per 25 mei 2018 van toepassing. In de tussenliggende periode hebben organisaties de tijd zich klaar te maken voor de nieuwe verordening, die strengere regels stelt aan organisaties. Die tijd is inmiddels geslonken tot een paar maanden. De AVG geeft organisaties de kaders waarbinnen ze persoonsgegevens mogen gebruiken om hun taken goed uit te kunnen voeren. De AVG vraagt explicieter om personen te informeren wat er met hun gegevens gebeurt, versterkt rechten van de betrokkene en dwingt een verantwoordelijke tot accountability, dat wil zeggen verantwoording van hun handelen. De AVG zoekt een balans tussen de mogelijkheden en belangen van verwerkende partijen en de rechten, vrijheden en belangen van personen.
Vragen die elke organisatie zichzelf op dit moment zou moeten stellen zijn:
• Voldoen wij aan de nieuwe privacywet- en regelgeving? Als organisatie ben je verantwoordelijk voor de naleving door je eigen organisatie, maar ook van partijen die je inhuurt. De naleving van de AVG moet je kunnen aantonen.
• Heeft mijn organisatie de informatiebeveiliging goed geregeld? Er zijn in het sociaal domein verschillende standaarden voor de verwerking, het gebruik, de verspreiding, het archiveren en vernietigen van gegevens (denk aan de Baseline Informatiebeveiliging (BIG) voor gemeenten, NEN 7510 voor de zorg en ISO27002 voor overige organisaties).
• Kunnen wij de werking van beschermende maatregelen die voortvloeien uit de AVG borgen? Privacybescherming vraagt een samenspel tussen management, security- en privacyofficers om te komen tot goed beleid, maar dat beleid moet wel uitgevoerd worden. Geen geringe opgave in het sociaal domein, waar veel medewerkers van verschillende disciplines betrokken zijn.
• Zijn we klaar voor nieuwe ontwikkelingen? Ook onder de AVG willen we graag nog meer met gegevens gaan doen. Big data lijkt inmiddels een oude ontwikkeling in vergelijking tot blockchain, artificial intelligence en Internet of Things (IoT). De impact van gegevensverwerking op mensen neemt alleen maar toe. Dat kan alleen als een goed fundament is gelegd.
Op het eerste oog verschillen de principes en rechtsbeginselen van de AVG niet veel ten opzichte van de Wbp. Het effect van de AVG zit vooral in de impact die wetsartikelen, zoals de verantwoordingsplicht, de verplichting om datalekken te melden en het risico op boetes, hebben op hun doelgroepen. De AVG spreekt bestuurders direct aan op hun verantwoordelijkheden. Zo brengt de AVG privacy op de bestuurstafel. Hierdoor wordt privacywetgeving ook het speelveld van controllers, accountants en auditors die zich bezig houden met toetsen, beoordelen en rapporteren. Wat de blijvende impact van de AVG is, is nog niet duidelijk. Veel hangt af van de rol van de toezichthouders en het internationale speelveld. Gaan toezichthouders boetes uitdelen, aan wie en hoe vaak? Wordt een hele branche onderdeel van een onderzoek als organisaties branchecodes niet naleven? Welke rol gaan functionarissen voor gegevensbescherming spelen en hoeveel vertrouwen krijgen instellingen van burgers? Op grote lijnen zijn de invloeden en kansen van de AVG:
• De AVG is op veel punten duidelijker en eenvoudiger dan de Wbp. Zo zijn taken en verantwoordelijkheden voor de verantwoordelijke, de functionaris voor gegevensbescherming en aspecten die met partijen die in opdracht gegevens verwerken, de verwerkers, explicieter gemaakt.
• De AVG dwingt organisaties tot opschonen en documenteren van verwerkingen. Dat brengt helderheid, bijvoorbeeld in welke persoonsgegevens je mag opvragen, verwerken en archiveren en met wie je ze mag uitwisselen. Over deze handelingen moeten betrokkenen actief geïnformeerd worden (art. 12 en 13 AVG).
• Verwerkingen moeten in een register van verwerkingsactiviteiten worden opgenomen. Een nuttig document dat de basis kan zijn voor toezicht, privacy impactassessments en overzicht. Voor risicovolle verwerkingen zullen risico-analyses uitgevoerd moeten worden.
Dit artikel is ook te vinden in het dossier AVG
