13 July 2017 - NielsWinters

De AVG bevat fundamentele veranderingen voor bedrijven die werken met persoonsgegevens. Het gaat dan vooral om compliance, en kunnen aantonen dát u compliant bent. De AVG kunt u beter zien als een verplichte ISO certificering dan als een wetswijziging.

De belangrijkste verandering voor de praktijk zal het register zijn. Iedere verwerking moet apart worden gedocumenteerd: wie doet wat, waarom en hoe lang wordt dat bewaard, welke beveiliging hoort daar bij en zo nog een aantal eisen. Dat is niet iets dat een bedrijfsjurist van op afstand kan opstellen, dit moet de betreffende afdeling zelf aanleveren.

Deze informatie moet ook beheerd worden, en een setje Word documenten op een netwerkschijf is dan niet genoeg. Wie is er verantwoordelijk voor dat dit wordt geactualiseerd, hoe weet iedereen in de organisatie dat wijzigingen en nieuwe verwerkingen moeten worden doorgevoerd? Allemaal vragen die alleen een bedrijfsmatige oplossing kennen, geen juridische.

Sommige dingen lijken juridisch. Zo moeten verwerkersovereenkomsten worden getroffen met uw leveranciers, als die persoonsgegevens van u of uw klanten verwerken. Dat is natuurlijk een juridische kwestie – op het eerste gezicht. Want die verwerkersovereenkomst komt in feite neer op het opschrijven van een aantal garanties en procedures om problemen (zoals datalekken) op te kunnen lossen. Die bestaan niet in een vacuüm maar moeten met de business worden afgestemd. Past deze bijvoorbeeld wel bij de Service Level Agreement die is afgesloten?