Je hebt nog 128 dagen om de AVG te implementeren #128totavg

Vandaag zijn er nog precies 128 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Deze nieuwe Europese privacywet gaat een hoop veranderen, en juristen en consultants draaien massaal overuren om hun klanten compliant te krijgen. Maar steeds meer raak ik ervan overtuigd dat het een fout is om de AVG te zien als een nieuwe wet die juridische maatregelen vereist, oftewel iets dat je aan de juridische afdeling kunt overlaten om met een nieuwe privacyverklaring, bewerkersovereenkomst en standaardtekst voor toestemming te laten komen.

Zoals ik 128 dagen geleden al schreef, voor een groot deel is de AVG aanscherpen van de regels uit de huidige wetgeving. Dat echt alles verboden zou worden, is dan ook een tikje overtrokken. Het is vooral een kwestie van zorgvuldig(er) moeten gaan werken. Onderbouw waarom je die gegevens nodig hebt. Leg vast hoe lang je ze bewaart, en hoezo bewaar jij backups 10 jaar?

Het uitwerken van die zorgvuldigheid is precies waar de grootste pijn blijkt te zitten, in mijn ervaring. Het vereist namelijk een hele nieuwe manier van denken: persoonsgegevens krijg je niet zomaar, je moet het uitwerken en motiveren. En dat is echt iets nieuws, maar wel iets nieuws waar je als bedrijf over na moet denken. De jurist of consultant kan dat niet, althans niet alleen. De AVG dwingt tot veranderen van je bedrijfsprocessen, niet alleen je privacyverklaring.

Nog steeds zie ik mensen die denken dat het wel meevalt, en denken dat ze wegkomen met wat mooie nieuwe teksten, een Excelsheet dat als verwerkingsregister moet dienen en een herschreven toestemmingsvraag voor bij de nieuwsbrief. Maar dat is slechts één klein deel van het verhaal. Compliance vereist meer dan alleen de voorkant oppoetsen. Het gaat juist om wat er vervolgens gebeurt, die bedrijfsprocessen waarin besloten wordt gegevens te hergebruiken of die archivaris die onder het mom “beter bewaren dan kwijt zijn” backups nimmer opschoont of weggooit.

Gisteren sprak ik een journalist die me vroeg hoe ik bepaal of een organisatie voldoet aan de AVG. Dat is natuurlijk een iets te complex onderwerp om met één vraag te toetsen, maar als kort-door-de-bocht vuistregel kun je wel letten op hoe men bewaartermijnen vaststelt, en wat ze doen met bekende onderwerpen als sollicitatiebrieven of registratie van bezoekers. Dat zijn typisch van die dingen die er normaal tussendoor gedaan worden en dus over het hoofd gezien worden als compliance niet op de goede manier wordt ingevoerd.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Gerelateerde berichten:

• Je hebt nog 64 dagen om de AVG te implementeren #64totavg (22/03/18 08:24)
• Je hebt nog 256 dagen om de AVG te implementeren #256totAVG (11/09/17 08:12)
• Je hebt nog 32 dagen om de AVG te implementeren #32totavg (30/04/18 08:20)
• QNH lanceert GDPR Scan (15/06/17 10:38)
• We hebben een nieuwe privacyverklaring (24/05/18 17:01)

Reacties:

Er zijn nog geen reacties op dit bericht.