Vrijdag 17 november heeft ICT Waarborg een interessant seminar gegeven over de EU GDRP / AVG. De privacy wetgeving rondom persoonsgegevens waar ieder bedrijf zich aan moet houden. Het was weer heel netjes georganiseerd. Dit keer in kasteel Nijenrode. ICT Recht verzorgde de presentatie.

Het was ons al bekend dat er nog veel onduidelijkheid is over bepaalde zaken rondom de EU GDRP / AVG. Ook op dit seminar bleek bij het beantwoorden van de vele vragen uit het publiek dat er voor diverse scenario’s nog geen duidelijkheid bestaat over hoe de autoriteit persoonsgegevens nu precies op gaat treden tegen bepaalde constructies. Zeker omdat er nog geen jurisprudentie is over hoe de letter van de wet geïnterpreteerd en uitgevoerd zal moeten worden.

Van belang is in ieder geval dat elk bedrijf alle risico’s in ieder geval overdacht heeft en deze gedocumenteerd heeft. Ook wanneer een risico groot is blijft de documentatie en redenatie van groot belang. Dan loopt u in ieder geval de boete mis voor het niet hebben van een plan rond bescherming persoonsgegevens.

Ook de bewerkersovereenkomst is hierbij van groot belang. Hierin worden diverse zaken afgesproken tussen verantwoordelijke en verwerker hoe er met persoonsgegevens van betrokkenen omgegaan moet worden. Hoe de beveiliging geregeld is, waar de data opgeslagen is en wat te doen in het geval van een datalek. Zowel de verantwoordelijke als de bewerker zijn in overtreding als dit niet geregeld is. Dit mag in de algemene voorwaarden, maar dat is soms niet praktisch omdat er vaak specifieke gegevens moeten worden opgenomen als beveiliging en welke typen persoonsgegevens. Vandaar dat een contract of aparte overeenkomst vaak de voorkeur hebben. Zeker omdat aanpassing van een algemene voorwaarden of contract ook andere gevolgen hebben voor de lopende overeenkomst en de inhoud van de bewerkersovereenkomst soms gewijzigd moet worden als er bijvoorbeeld technisch iets veranderd.

Maar om volledig te voldoen aan de AVG moet er een werkelijke omslag plaatsvinden in de manier waarop we met persoonsgegevens omgaan. Ideaal is om toegang tot persoonsgegevens te beperken tot zo min mogelijk systemen en personen. En de systemen en accounts van de personen die toegang hebben maximaal te beveiligen.

Een punt wat nog erg lastig uitvoerbaar lijkt is de registratie van persoonsgegevens in een log. Zeker als er persoonsgegevens in een webshop of website, administratiepakket en ook op opslagsystemen staan. En als er op andere manieren en zelfs ongevraagd persoonsgegevens binnenkomen. En als medewerkers zelf nog eens lijstjes buiten de gebruikelijke workflow om opslaan zoals een vakantieschema voor het plannen van de vakantiedagen van een afdeling.

De AVG / EU GDPR zal een enorme kostenpost worden voor bedrijven als er niet snel een verplicht systeem komt waar iedere software aanbieder, cloud provider en bedrijf zich bij aan MOET sluiten. Een mooi voorbeeld is Esland wat al ver ontwikkeld is op het gebied van digitale identiteit en bescherming van persoonsgegevens.