Met privacy en persoonsgegevens moet je zorgvuldig om gaan. Maar nu: de berichtgeving over hoe dat dan moet? Daar zien we dat vaak vooral wordt gewezen op de complexiteit van de regelgeving, bovenmatige en kostbare inspanningen om ‘privacyproof’ te worden en bangmakerij voor torenhoge boetes, zonder duidelijke handvatten. Dat helpt niet echt. De Algemene Verordening Gegevensbescherming (de AVG), waarin de nieuwe privacynormen zijn vervat en die per 25 mei 2018 van kracht wordt, is omvangrijk en gedetailleerd. Bovendien is er slechts een beperkte schriftelijke toelichting voorhanden. Op veel punten is er (nog) onduidelijkheid over de precieze invulling die gegeven moet worden aan de in de verordening opgenomen begrippen en bepalingen. Die nadere invulling is aan de respectievelijke toezichthouders in de Europese landen en aan de Europese rechters. Dit wordt terecht ook gesteld in de Handleiding Algemene verordening gegevensbescherming die een paar weken geleden is verschenen. Het is een dynamisch geheel, dat aan veranderingen onderhevig is en ook periodiek herzien zal worden aan de hand van de laatste ontwikkelingen op het gebied van de toepassing en uitleg van de verordening.
Veel berichtgeving zorgt voor verwarring
Weliswaar begrijpelijk, maar bepaald storend is de algemene en commerciële berichtgeving over de invoering en implementatie van de verordening. Deze kenmerkt zich door slechts het wijzen op de complexiteit van de regelgeving, de bovenmatige en kostbare ook financiële inspanningen die moeten worden verricht om ‘privacyproof’ te worden en door bangmakerij voor torenhoge boetes, zonder duidelijke handvatten. Dat helpt niet echt.
In de algemene berichtgeving wordt ook teveel uitgegaan van hoe meer maatregelen hoe beter, onder het mom van ‘je weet maar nooit’, zonder duidelijke basis en vereiste vanuit de AVG. Dat leidt tot allerlei onnodige acties en werkzaamheden. Ook beroepsorganisaties maken zich daaraan schuldig en creëren op die manier een diffuus beeld waardoor organisaties niet weten waar ze aan toe zijn of wat ze moeten doen.Ook de NBA maakt zich hier aan schuldig door – in zijn algemeenheid – maatregelen te suggereren die voor het gros van de MKB-accountantskantoren niet vereist worden door de AVG. Dat veroorzaakt veel onrust en kan en mag niet de bedoeling zijn. We gaan graag hierover met de NBA in gesprek.
Praktische aanpak
In de kern komt het erop neer dat een organisatie aantoonbaar beschikt over een beleid bescherming persoonsgegevens (ook wel privacybeleid), een register van verwerkingsactiviteiten, waar nodig gebruik maakt van verwerkersovereenkomsten en een protocol datalekken. Verder ziet de verantwoordingplicht op het controleren en het nemen van passende technische en organisatorische maatregelen voor de beveiliging. In bepaalde meer specifieke gevallen kan een Privacy Impact Assessment (PIA) vereist zijn of een Privacy Officer (functionaris gegevensbescherming).
De overvloedige publiciteit draagt niet bij aan het doel van de AVG, het dient de privacybescherming niet en moet absoluut worden vermeden.
Ruud Boerman, Extendum
Nestor van de vakgroep Juridisch bij Extendum en jurist in hart en nieren. Met ruim 30 jaar juridische ervaring, waarvan 20 jaar als advocaat, is hij tevens directielid van Extendum, het kennis- en adviescentrum voor MKB-accountantskantoren.
Geef een reactie