28 May 2019 - NielsWinters

Wie is Mark? 

Mark is Account Manager bij JuriBlox en houdt zich onder andere bezig met de sales van JuriBlox Privacy. Zo komt Mark in aanraking met de behoefte van uiteenlopende organisaties. Daarbij is Mark nauw betrokken bij implementaties en evaluaties bij klanten, om inzichtelijk te maken welke oplossingen uitkomst bieden. Tegelijkertijd ziet hij ook welke uitdagingen nog getackeld moeten worden. Mark heeft een achtergrond in bedrijfskunde en heeft zich de afgelopen paar jaar verdiept in de AVG. Door beide velden te combineren kijkt hij met een praktische blik naar de nieuwe privacywetgeving en de toepassing ervan.

Vraag 1: Wat zijn belangrijke veranderingen waar je als organisatie rekening mee dient te houden?

“Qua inhoud verschilt de AVG niet enorm veel ten opzichte van haar voorganger; de WBP. De grootste veranderingen zitten duidelijk in de administratieplicht, rechten van betrokkenen en awareness.

Administratieplicht

De verandering waar organisaties de meeste aandacht aan schenken is de administratieplicht. Voorheen diende je als organisatie te bewijzen dat er voldaan werd aan wet- en regelgeving, wanneer daar interesse naar was of er een conflict was. Daarentegen vraagt de AVG organisaties zelf proactief te administreren om aan te tonen dat zij alles op orde hebben. In plaats van een aantal flitspalen op bepaalde locaties, rijdt iedereen nu rond met een hele grote snelheidsmeter op het dak van de auto (en houdt men elkaar in de gaten).

Een van de administratieplichten is het opzetten van een verwerkingsregister. In dit register dienen de gegevensstromen, waar persoonsgegevens bij betrokken zijn, in kaart te worden gebracht en van specifieke informatie te worden voorzien. 
Ik heb gezien dat veel organisaties hier moeite mee hebben. Het is lastig alle informatie juist te vergaren en vervolgens in een overzicht te gieten waar men ook daadwerkelijk iets mee kan. In mijn ogen is dit register dus ook heel hard nodig, aangezien men niet weet wat er allemaal gebeurt met persoonsgegevens. 

Rechten van betrokkenen

Personen wiens data wordt verwerkt door organisaties staan door de komst van de AVG sterker (in hun recht). Op verzoek van de betrokkenen dient de organisatie onder meer aan te tonen wat voor gegevens er worden verwerkt, waarvoor, in samenwerking met wie, hoe deze gegevens beveiligd worden. Door de betrokkenen meer rechten te geven is het niet langer aan de toezichthouder alleen om voor deze groep op te komen. Dat kunnen ze voortaan ook zelf.

Daarmee wordt er een veld van sociale controle gegenereerd waardoor alle betrokkenen als een netwerk van ‘mini-toezichthouders’ functioneren.

Awareness

In plaats van één specialist die zich met privacy bezighoudt, dient onder de AVG elke medewerker binnen een organisatie op de hoogte te zijn van de impact die zijn of haar werkzaamheden heeft op de privacy van de betrokkenen. Hierdoor zal er veel beter en bewuster met gegevens van klanten worden omgegaan in elke schakel van de organisatie. Het blijkt een flinke klus om werknemers te leren wat persoonsgegevens zijn, wat de impact is op de privacy van betrokkenen en wat ze kunnen doen om deze impact of risico’s te verkleinen. 

Hierbij speelt ook de motivatie van de werknemer om zich erin te verdiepen ook een grote rol. Dat is een uitdaging vanuit de organisatie om de awareness voor privacy bij de werknemers te verhogen.”

Vraag 2: Tegen welke problemen liepen deze organisaties aan?

“In de praktijk zie ik dat organisaties over het algemeen tegen twee soorten problemen aanlopen: gebrek aan kennis en gebrek aan efficiëntie.

Gebrek aan kennis

Ook kleine organisaties moeten aan de (administratieplicht van de) AVG voldoen. Bij hen is vaak weinig tot geen kennis aanwezig over bijvoorbeeld verwerkersovereenkomsten en datalekken. Het inschakelen van een jurist of privacy-adviseur past voor veel kleine organisaties niet binnen het budget. Deze organisaties zullen derhalve zelf aan de slag moeten met de informatie die zij online vinden of uit boeken en trainingen halen. 

Vanuit deze inzichten hebben wij een selfservice privacy tool ontwikkeld, waar deze doelgroep een kennisbank aan begrijpelijk informatie en modellen kan verkrijgen. Hiermee kunnen ook kleine organisaties eenvoudig zelf aan de administratieve verplichtingen van de AVG voldoen. 

Geen efficiëntie 

Bij grotere organisaties ben ik vooral problemen tegengekomen in efficiëntie en (optimale) werkprocessen. Om hier de privacy-administratie, waaronder het verwerkingsregister, op orde te krijgen is interne samenwerking belangrijk. De FG of privacy officer kan dit onmogelijk alleen en dient geholpen te worden door collega’s. Daarom zochten organisaties een oplossing om decentraal op begrijpelijke en uniforme wijze samen te kunnen werken zonder dat het overzicht verdwijnt. 

Hierdoor zou er niet alleen efficiënter samengewerkt kunnen worden, maar wordt de awareness ook direct vergroot. Dat zijn gelijk twee vliegen in één klap!”

Vraag 3: Hoe heb je dergelijke problemen kunnen oplossen? 

“Voor de relatief kleine organisatie bieden we binnen de tool alle kennis die nodig is om aan de administratieve verplichtingen te kunnen voldoen. Zelf in te vullen risicoanalyses, datalekadviezen, verwerkersovereenkomsten en registers zorgen ervoor dat de gebruiker de juiste kennis toe kan spitsen op haar eigen situatie. 

Voor grotere organisaties waar de kennis wel aanwezig is, maar de taak simpelweg te groot is voor één persoon, ontbreekt het aan efficiëntie. Ik heb in de praktijk gezien dat een tool waar decentraal in samengewerkt kan worden de oplossing biedt in deze situatie. Door afdelingen bijvoorbeeld haar eigen verwerkingen in het register te laten plaatsen en onderhouden, worden capaciteiten beter verdeeld, blijft het register up-to-date en wordt de awareness vergroot. 

De FG kan op een centrale plek alle input eenvoudig controleren en wordt automatisch op de hoogte gebracht van risico’s.”

Vraag 4: Nu de AVG bijna een jaar lang van kracht is, hoe gaan organisaties nu om met de AVG?

“Veel bedrijven hebben nog een lange weg te gaan en voor de voorlopers breekt de onderhoudsfase aan. De hype rond de AVG is aardig afgenomen. Deze hype werd natuurlijk veroorzaakt door de deadline van 25 mei 2018. Het afgelopen jaar hebben wij veel implementaties en evaluaties verricht met de gebruikers van JuriBlox Privacy. Zowel bij de grote organisatie als de kleine organisatie. Wat in de praktijk veel terugkomt, is dat er nu meer de tijd wordt genomen voor het regelen van de privacy-administratie. Waar vorig jaar razendsnel een register moest worden opgezet om op 25 mei iets te hebben, wordt er momenteel veel meer gekeken naar de (wat ons betreft) belangrijkere aspecten van de privacy administratie: juistheid, beschikbaarheid van informatie en duurzaamheid. 

AVG-taken worden dus steeds meer verweven met de dagelijkse bedrijfsvoering in plaats van dat er één persoon met een fulltime baan op wordt gezet. Op die manier wordt de gewenste awareness gekweekt en wordt er een duurzaam proces opgezet om de administratie op een efficiënte wijze te blijven onderhouden. Het wegvallen van de deadline heeft opgeleverd dat organisaties de taken nog steeds serieus nemen, alleen wordt er nu de tijd voor genomen om deze op een goede en uitgedachte wijze te verrichten.”

Vraag 5. Wat is jouw visie op de AVG? 

"De AVG is een goede poging van de wetgever om de razendsnel ontwikkelende technologie bij te benen. Door rechtspraak concrete handvaten te geven, kan de privacy van betrokkenen beter worden beschermd.

Allereerst is het een goed middel om (gestandaardiseerd in Europa) een lijn te trekken tegenover de Googles en Facebooks van deze wereld. De organisaties waar redelijk onwetende betrokkenen zonder na te denken al hun privacy(rechten) wegwuiven om van hun diensten of producten gebruik te maken. Dit zijn de diensten en producten die vandaag de dag tot eerste levensbehoefte horen en betrokkenen dienen beschermd te worden tegen dergelijke organisaties met zoveel macht als deze. 

Ten tweede is het zaak om meer zicht te krijgen op wat de midden sector nu eigenlijk doet met persoonsgegevens. Deze organisaties zijn niet de bedrijven die dagelijks in het nieuws komen of in de spotlight opereren, maar wel veel terugkomen in het dagelijks leven van de betrokkenen. Hierdoor beschikken dergelijke organisaties over grote hoeveelheden persoonsgegevens en de middelen om hier meer mee te doen. Het toezicht op hen ontbreekt daarentegen vaak.

Als laatste is het belangrijk dat ook de kleinere organisaties op goede wijze met persoonsgegevens omgaan. Ondanks dat er per organisatie veel minder persoonsgegevens worden verwerkt, dan bij bijvoorbeeld bij Google, hebben we het bij deze sector collectief gezien over enorme gegevensstromen; puur omdat veel meer organisaties in deze sector bevinden. Het probleem wordt hier direct zichtbaar: Hoe kan hier toezicht op gehouden worden? De toezichthouder kan niet alle kleine organisaties in de gaten houden. Daarbij komt dat de groep betrokkenen hier vele malen kleiner is en relatief gezien van minder groot belang. De AVG biedt hier een slimme oplossing voor door ook deze kleine organisaties transparantie te laten bieden m.b.t. hun privacy-administratie en de betrokkenen van meer rechten te voorzien. Hierdoor worden de betrokkenen niet alleen beschermd, maar ook gemobiliseerd als (eigen) ‘mini-toezichthouders’.

Naar mijn idee zal de AVG zich in de komende jaren zo settelen dat het voor betrokken en organisaties de normaalste zaak van de wereld is dat er door elke partij, groot en klein, op verantwoordelijke en transparante wijze met persoonsgegevens wordt omgegaan”.

Meer weten?
Wilt u weten wat JuriBlox Privacy voor uw organisatie kan betekenen? Vraag hier een vrijblijvende demo aan.