26 september 2017

Avg: inhoudelijke afspraken boven juridisch proza

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, HELPDESK JURIDISCH, VERTROUWEN

Onlangs was ik uitgenodigd bij een lid-bedrijf om een presentatie te houden over de Avg (de Algemene verordening gegevensbescherming, oftewel de GDPR). De genodigden waren voornamelijk vertegenwoordigers uit de overheid, het thema was data governance en hoe je de Avg moet implementeren. Er viel mij een aantal dingen op.

Onbewust Onbekend

Tot een maand of wat geleden trok dit soort bijeenkomsten over privacy een handjevol mensen. Maar sinds het begin van de zomer is het besef dat er ‘iets’ moet met die Avg blijkbaar ineens doorgedrongen: de zalen zitten vol. We komen van de fase ‘Onbewust Onbekend’ nu toch echt in de fase ‘Bewust Onbekend’. Maar ook deze middag bleek weer dat de weg naar ‘Bewust Bekend’, en zeker naar ‘Onbewust Bekend’ nog een lange is.

Borgen van privacy

Het is eigenlijk schokkend dat de sprekers het allemaal blijkbaar gewoon vinden dat ze tegenover een zaal staan die nog moet beginnen aan privacy-compliance. En dat terwijl die wetgeving in de basis al bijna dertig jaar bestaat! Bij een zaal vol kleine bedrijfjes kan ik daar nog wel enig begrip voor opbrengen. Maar bij een zaal vol overheidsdienaren, de goede niet te na gesproken, verwacht ik toch een groter plichtsbesef om het grondrecht privacy te willen borgen.

Verwerkersovereenkomst

Het onderwerp van mijn presentatie was welke afspraken gemaakt moeten worden met je ICT-leverancier. Dan heb je het eigenlijk over de bewerkersovereenkomst, of – in de Avg-terminologie – de verwerkersovereenkomst. De Avg bevat een veel uitgebreidere lijst met onderwerpen waarover afspraken gemaakt moeten worden in zo’n verwerkersovereenkomst. Binnenkort zullen we daaraan uitgebreid aandacht besteden in de Avg-nieuwsbrief en een Avg-proof voorbeeld bewerkersovereenkomst ter beschikking stellen aan leden.

Avg = afspraken over de inhoud

Wat opvalt aan dat lijstje onderwerpen is dat het veel over inhoud gaat: wat is het onderwerp en de aard van de verwerking, wat is de duur, welke soorten en categorieën gegevens worden verwerkt, hoe gaat de verwerker de verantwoordelijke bijstaan bij inzageverzoeken of datalekken en welke audit-rechten spreek je af.

Concrete antwoorden

De meeste bewerkersovereenkomsten die ik zie, bevatten voornamelijk veel wollig juridisch proza. Neem nu de ARBIT-voorwaarden. Die reppen over ‘passende technische en organisatorische maatregelen’ en de plicht om op ‘behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving’ persoonsgegevens te verwerken. Eigenlijk hebben ze de open normen uit de huidige wet overgeschreven.

Maar hoe ga je nu beveiligen? En wat is er passend? Welke gegevens gaat het eigenlijk om? Allemaal vragen waarop de verantwoordelijke een antwoord moet hebben. Concreet. Inhoudelijk.

Win-win

Met dergelijke wollige juridische frases wordt weliswaar het juridische risico bij de wederpartij neergelegd, maar de vraag is of je dan als verantwoordelijke wel compliant bent. De tekst van de Avg doet vermoeden van niet. Die laat zien dat het veel meer om de inhoud gaat: wat spreken we met elkaar af, en niet alleen maar ‘wie krijgt de zwartepiet als het mis gaat’.

Dit vergt overleg. De verantwoordelijke moet aangeven om wat voor gegevens het gaat, met welk doel die verwerkt worden en welke risico’s hij ziet. De verwerker kan dan beter adviseren over welke producten, beveiliging en werkwijze daar het beste bij passen. Een win-win voor beide partijen.

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd