Het blijft een enorme uitdaging om complexe zaken kort en bondig uit te leggen. In het geval van de Algemene Verordening Gegevensbescherming (AVG, in Europa bekend als GDPR) is dat niet anders. Met deze nieuwe wet- en regelgeving moet iedereen aan de slag, want niet voldoen aan de wet brengt een groot bedrijfsrisico met zich mee. Maar als de materie vervolgens zo complex en omvangrijk is, zakt de moed je al snel in de schoenen. Waar moet ik beginnen? En wat moet ik doen? Het is nou ook niet bepaald de leukste klus om aan te pakken. En dat helpt niet om het snel en goed geregeld te krijgen. Dus wat gaan we doen: op zoek naar een startpunt van waaraf we in kleine stapjes vooruit werken.
Voor SnelStart ben ik nu een paar maanden met deze materie bezig en heb ik inmiddels aardig in beeld wat de regels inhouden voor welke partijen en hoe je ze praktisch kunt toepassen. Zelfs wordt het mij al aardig duidelijk wat de wetgever met de AVG wil bereiken. Dat laatste punt is zeker belangrijk, want er bestaan veel verschillende interpretaties over correcte uitvoering.
Disclaimer: Ook deze blog is natuurlijk een interpretatie van de materie. Wees zorgvuldig waar het gaat om toepassing in de eigen organisatie.
Impact
Om het geheel in perspectief te zetten, ben ik op zoek gegaan naar een manier om de impact van de wet- en regelgeving duidelijk maken. In de figuur hieronder zie je hoe ik dat heb gedaan.
De impact van de AVG kun je in feite splitsen in de gevolgen voor natuurlijke personen en die voor gegevensverwerkende organisaties.
Personen
De AVG kent rechten toe aan natuurlijke personen. Deze werden deels al in de wet bescherming persoonsgegevens (WBP) benoemd. Er is echter wel een aantal belangrijke uitbreidingen en veranderingen dat ervoor zorgt dat een individu de controle krijgt over de persoonlijke gegevens die hij aan een gegevensverwerkende organisatie ter beschikking stelt. Daarnaast heeft de Autoriteit Persoonsgegevens (AP), de ‘waakhond’ voor Nederland, extra bevoegdheden en mogelijkheden om ervoor te zorgen dat in overeenstemming met de wet- en regelgeving wordt gehandeld. Denk daarbij aan economische sancties zoals hoge boetes.
Ondernemers
Voor gegevensverwerkende organisaties, die ik voor het gemak verder omschrijf als de ondernemers, worden de rechten van individuele personen vertaald naar verplichtingen en voorwaarden voor de verwerking van hun persoonsgegevens. Ook dit was al in de WBP geregeld, maar nu kan de toezichthouder veel strenger optreden bij constatering van afwijkingen. Uit de figuur blijkt dat de nieuwe wet- en regelgeving grote invloed heeft op de activiteiten van ondernemers. Er worden legio voorwaarden en verplichtingen gesteld aan de gegevensverwerking. Neem bijvoorbeeld een lijst met klanten en contactgegevens, of de personeelsadministratie. Ook die vallen onder de AVG en van elke gegevensbron moeten worden vastgesteld of de uitgangspunten waarop deze worden verwerkt wel rechtmatig zijn. En dat is niet zo eenvoudig.
Functionaris gegevensbescherming
Sommige organisaties moeten voor de verwerking van persoonsgegevens een functionaris gegevensbescherming(fg) of met een mooi woord data protection officer aanstellen. De fg houdt onafhankelijk toezicht op de gegevensverwerking en is het eerste aanspreekpunt voor de Autoriteit Persoonsgegevens als er een melding/klacht over een organisatie wordt ontvangen. Tot het takenpakket van deze functionaris behoort onder meer het toezicht houden op de contractuele maatregelen en voorwaarden die een organisatie heeft voor uitbesteding van (een deel van) de gegevensverwerking. Daarbij is het vooral belangrijk dat volgens de wet wordt gehandeld en dat dus de rechten van personen zijn beschermd.
En nu?
Duidelijk is nu wel dat de AVG grote impact heeft en dat het verwerken van persoonsgegevens nogal wat verplichtingen en voorwoorden met zich meebrengt. In mijn volgende blog gaan we samen bekijken hoe we daar praktisch invulling aan kunnen geven.
Carlo Kuip is enterprise architect bij SnelStart.
Geef een reactie