Het Interview - Arnoud Engelfriet

Het interview - Update 28 - September 2016

Deze keer een interview met Arnoud Engelfriet, partner bij ICTRecht, over de ontwikkelingen op het gebied van de Europese wet- en regelgeving.

Compliance, Compliance, Compliance

De ontwikkelingen op het gebied van bescherming van persoonsgegevens volgen elkaar in razendsnel tempo op. Nationale en Europese wetgevers zitten niet stil, en er lijkt een oerwoud aan regelgeving en bureaucratische verplichtingen op ons af te komen.

Het is verstandig dat u zich als onderneming hieraan conformeert, omdat de mogelijke financiële consequenties in het geval van noncompliance enorm kunnen zijn. Er is dus flink wat werk aan de winkel. Arnoud Engelfriet, partner bij ICTRecht, legt uit wat er gaande is en geeft praktische antwoorden op vragen over wat u te wachten staat.

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken die de huidige Wet bescherming persoonsgegevens (Wbp) op een aantal fronten aanscherpt. Vanwaar deze aanscherping en wat brengt deze wet aan verplichtingen met zich mee?
De Wbp implementeerde de Europese privacyrichtlijn uit 1995. Nog ver voordat internet, big data en grootschalige analyses en tracking belangrijk werden. De regels houden daar geen rekening mee en zijn dus op dat vlak verouderd. Dit wringt in de praktijk op veel punten. De nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), moet daar verandering in brengen. Deze verordening past de regelgeving aan aan de moderne tijd en legt veel meer nadruk op goede beveiliging, goede compliance, kunnen uitleggen wat je doet en fundamenteel rekening houden met privacy. Nederland loopt met de huidige meldplicht vooruit op deze Europese ontwikkelingen, waarvan ook een meldplicht datalekken deel uitmaakt.

Volgens vicevoorzitter Wilbert Tomesen van de Autoriteit Persoonsgegevens zijn er bij benadering 130.000 organisaties in Nederland die persoonsgegevens verwerken. Van januari tot ongeveer half mei dit jaar zijn er ruim 1.600 meldingen binnengekomen bij de Autoriteit Persoonsgegevens. Terwijl er naar schatting zo’n 60.000 meldingen zouden komen. Wat kan hiervan de oorzaak zijn?
Het is lastig te zeggen waarom organisaties datalekken niet melden. Een belangrijk vermoeden is gebaseerd op mijn praktijk dat mensen vaak niet beseffen dat ze te maken hebben met een datalek. Laat staan dat dit gemeld zou moeten worden. De opvatting dat een persoonsgegeven altijd een naam of ander contactgegeven moet bevatten is onjuist maar wel wijdverbreid. Ook wanneer bijvoorbeeld de klantnaam is vervangen door een klantnummer, is er sprake van een persoonsgegeven en kan het dus om een datalek gaan.

Hier zou wat mij betreft veel meer aandacht voor moeten zijn. Vooral vanuit de Autoriteit, die duidelijk moet aangeven wanneer het een datalek betreft. Maar ook voor tussenpersonen zoals securityprofessionals en andere organisaties die te maken hebben met bedrijven waar potentieel datalekken kunnen optreden, ligt een belangrijke rol weggelegd om klanten hierop te wijzen, uit te leggen wat de risico’s en mogelijke consequenties zijn. Dit is iets wat nog best wel een tandje harder mag bij iedereen.

Een andere verklaring zou kunnen zijn dat de wet relatief nieuw is, van januari 2016 tenslotte, en dat mensen nog niet bekend zijn met de nieuwe regels. Of dat men denkt dat er nog niet streng op wordt gehandhaafd, dus dat het nog onder de pet gehouden kan worden. Maar dat is natuurlijk moeilijk na te gaan.

Op 27 april 2016 is de Algemene Verordening Gegevensbescherming (AVG) vastgesteld die op 25 mei 2018 van toepassing zal zijn in alle EUlidstaten. Deze verordening zal de Wbp gaan vervangen, inclusief de net van kracht zijnde meldplicht datalekken. Wat betekent dit op hoofdlijnen?
De inhoud van de verordening die de Wbp gaat vervangen is grotendeels hetzelfde, maar wel uitgebreider en strenger dan de Nederlandse wet. Dus het is niet zo dat we nu ineens een compleet nieuw systeem krijgen met andere principes e.d. Wel worden alle duimschroeven een stuk aangedraaid en er moet veel meer compliance kunnen worden aangetoond. Organisaties moeten veel uitgebreider kunnen documenteren en bewijzen hoe zij zich aan de wet houden. De onlangs aangenomen regels van de meldplicht datalekken worden weliswaar afgeschaft, maar de verordening bevat zelf ook een regel over het melden van datalekken. Deze regel komt substantieel overeen met de Nederlandse regels. We kunnen dus zeggen dat er in de praktijk geen fundamentele wijzigingen zijn, maar wel een stevige aanscherping van de regels.

Wat gaat er gebeuren tussen nu en 25 mei 2018? Komt er een overgangsregeling?
We zitten op dit moment in de overgangsregeling. Het is dus niet zo dat we pas in 2018 overgangsrecht gaan krijgen. De wet is immers aangenomen en over twee jaar wordt hij van kracht. Dit betekent dus dat we die twee jaar hebben, minus de maanden die nu al verstreken zijn, om ons voor te bereiden en te zorgen dat we compliant worden met de nieuwe wet. De klok is al gaan lopen.

Blijft de Autoriteit Persoonsgegevens bestaan of komt er een Europese Autoriteit?
Beide. Er komt een Europese toezichthouder en daarnaast blijven nationale toezichthouders bestaan. Voor Nederlandse privacyzaken blijft onze autoriteit gelden en voor de grote grensoverschrijdende gevallen en voor de coördinatie tussen de verschillende nationale toezichthouders, zal een Europese toezichthouder worden opgericht.

Waar moeten organisaties zich melden?
Het is in principe de bedoeling dat de meldingen bij de nationale toezichthouder worden gedaan. Er zullen nog richtlijnen moeten worden gepubliceerd over wanneer je bij de Europese en wanneer je bij de nationale autoriteit moet melden. Voor organisaties met meerdere vestigingen in verschillende EU-lidstaten, geldt de autoriteit van de hoofdvestiging. De Europese toezichthouder kan regels opstellen die bepalen wanneer zaken bij haar moeten worden gemeld.

Gaat de AVG ook echt leiden tot een zorgvuldige en beter beschermde gegevensverwerking?
De nieuwe wet is opgezet om dat te stimuleren en er staan ook stevige boetes op het niet naleven van de bepalingen daaruit. De Wbp was meer een waarschuwingssysteem waarbij je bij overtreding eerst een waarschuwing kreeg en pas daarna konden boetes worden opgelegd. Die stok komt nu veel nadrukkelijker in beeld.

Compliance is het toverwoord in deze verordening. Op alle punten zie je steeds terugkomen dat zaken moeten worden vastgelegd en aangetoond moeten kunnen worden. Het is dus bijvoorbeeld niet voldoende om enkel te zeggen: “We hebben toestemming van de klant om dit te mogen doen”. Je moet ook kunnen laten zien hoe je die toestemming hebt gekregen. Door bijvoorbeeld de fysieke briefjes met daarop de toestemming of de logbestanden van uw online inschrijfformulier te tonen.

Leiden de verplichtingen voortkomend uit de AVG niet tot hogere lasten en kosten van gegevensverwerking?
Ja, het zal kostbaarder worden om met persoonsgegevens te werken. Je moet immers nu echt zorgen voor een goede beveiliging; ervoor zorgen dat de software goed is afgesteld, dat je niet zomaar gaat strooien met persoonsgegevens alsof het pepernoten zijn. Dat brengt meer kosten met zich mee. Maar daar staat tegenover dat de maatschappelijke kosten van datalekken en misbruik van persoonsgegevens, vandaag de dag ook steeds hoger zijn. Dus die uitgave is vanuit maatschappelijk oogpunt volkomen gerechtvaardigd.

Er dient een privacy officer onder bepaalde voorwaarden te worden aangesteld. Aan welke voorwaarden moeten we denken?
De AVG biedt de mogelijkheid om op vrijwillige basis een privacy officer aan te stellen. Het voordeel voor de organisatie om vrijwillig een privacy officer aan te wijzen, is dat de toezichthouder zich soepeler op zal stellen. Echter zijn er drie categorieën waarin het verplicht is om een privacyfunctionaris te hebben, te weten:
1. Wanneer er sprake is van een overheidsorgaan.
2. Wanneer de organisatie als hoofdtaak regelmatig en stelselmatig op grote schaal observaties van betrokken personen doet.
3. Wanneer de organisatie als taak op grote schaal bijzondere persoonsgegevens verwerkt.

Hoe zit het met verwerking van persoonsgegevens; is het eigenlijk wel echt nodig en zou het eventueel een onsje minder kunnen?

Wat zijn de taken en bevoegdheden van een privacy officer en aan welke functieeisen moet worden voldaan? Mag dit bijvoorbeeld de huidige compliance officer of security officer binnen een organisatie zijn?
Van de privacy officer wordt verwacht dat hij over de benodigde professionele kwaliteiten beschikt om de functie uit te kunnen voeren en dat hij voldoende kennis heeft op het gebied van wetgeving en praktijk omtrent privacy en persoonsgegevens. Dit mag een personeelslid zijn of een extern persoon die op grond van een inhuurovereenkomst de rol vervult. Belangrijk te beseffen is dat hij een onafhankelijke positie moet hebben binnen de organisatie en alleen hoeft te rapporteren aan de hoogste directeur. Wanneer een security officer onder de afdeling IT staat en deze rapporteert aan de directeur IT, dan staat hij onder hiërarchisch toezicht en kan dus niet de rol van privacy officer bekleden.

Welke processen zullen binnen de organisatie als gevolg van de AVG anders moeten worden ingericht?
Alle bedrijfsprocessen waarbij op de een of andere manier persoonsgegevens in het spel zijn, moeten worden getoetst volgens de verordening. Het maakt hierbij niet uit of het bedrijfsprocessen zijn die over klanten gaan, ook interne bedrijfsprocessen ten behoeve van bijvoorbeeld HRM-zaken, personeelsmanagement en dergelijke waar persoonsgegevens worden verwerkt, zullen moeten worden getoetst. Als je deze gegevens wil verwerken onder de verordening moet dat op een veilige manier gebeuren die zoveel mogelijk de privacy waarborgt. In sommige gevallen kan het dus nodig zijn het proces op de schop te gooien zodat bijvoorbeeld de ziekmeldingen niet langer intern per mail worden doorgegeven, maar dat hiervoor een eHRM-systeem wordt ingericht.

Wanneer er sprake is van verwerking van persoonsgegevens, moet worden onderzocht of hierbij grote risico’s ontstaan; risico’s op misbruik of ongeautoriseerd gebruik van die gegevens. Wanneer dat het geval is moet er in een Privacy Impact Analyse (PIA) worden onderzocht hoe die risico’s kunnen worden beperkt of helemaal tot nul kunnen worden gereduceerd en hoe het restrisico door middel van bijvoorbeeld de verzekering kan worden gedekt. Je mag dus geen risico’s ten aanzien van persoonsgegevens onbeheerd laten staan.

Aan welke eisen dienen deze processen globaal te voldoen?
Software en andere tools die worden ingezet bij de verwerking van persoonsgegevens moeten worden getoetst of ze ‘Privacy by design’ zijn: dat de software zo goed mogelijk rekening houdt met de privacy. Dit is niet door middel van een standaard checklist na te gaan. Ieder softwareprogramma is immers anders en voor andere doeleinden gemaakt. Hier ligt een schone taak voor de privacy officer.

Software en andere tools die worden ingezet bij de verwerking van persoonsgegevens moeten worden getoetst of ze ‘Privacy by design’ zijn: dat de software zo goed mogelijk rekening houdt met de privacy. Dit is niet door middel van een standaard checklist na te gaan. Ieder softwareprogramma is immers anders en voor andere doeleinden gemaakt. Hier ligt een schone taak voor de privacy officer.

Wat zijn naar jouw mening de grootste hobbels die moeten worden genomen voor een succesvolle werking van de AVG?
Allereerst zullen bedrijven en organisaties ervan doordrongen moeten zijn dat ze al heel snel te maken hebben met persoonsgegevens. Een ander punt is dat het om een nieuwe wet gaat die ook in bestaande situaties gaat gelden. Dus ook bedrijfsprocessen die al twintig jaar op een bepaalde manier prima lopen, moeten gecheckt worden. Voor alle processen, nieuw en bestaand, zal op een zeker moment een privacy impact assessment moeten worden uitgevoerd om na te gaan: hebben we op een juiste manier toestemming verkregen? Zijn de risico’s goed geborgd? En vooral: hebben we de gegevens goed beveiligd? Met name dat stukje beveiliging zien we in het MKB nog weleens misgaan. Men is zich niet bewust van de beveiligingsissues wanneer een standaardpakket van de plank wordt genomen. Daarom zullen er steeds meer verplichtingen bij de leveranciers van dergelijke tools komen te liggen: in hoeverre is de software ontworpen volgens het ‘privacy by design’-principe? Hoe is de beveiliging ingericht? Hoe kunnen we constateren of er sprake is van een datalek en hoe kunnen we dit op tijd melden?

Wat zou je organisaties nog mee willen geven bij de voorbereiding in aanloop naar de nadere verplichtingen?
Wat denk ik het belangrijkste is: zorg dat je een aantal mensen in huis hebt of haalt die voldoende capaciteiten en deskundigheid hebben om zich hiermee bezig te houden. Ga vervolgens in ieder geval bij nieuwe bedrijfsprocessen of in het geval van wijzigingen aan bestaande processen, na hoe het zit met de verwerking van persoonsgegevens; is het eigenlijk wel echt nodig en zou het eventueel een onsje minder kunnen? Hoe minder gegevens je verwerkt, des te minder risico’s en hoe minder compliance-issues je hebt. En voor hetgeen dat overblijft zou je op een gegeven moment een analyse moeten maken. En dat kan zo simpel zijn als opschrijven waarom je bepaalde gegevens verwerkt en wat daarvan de noodzaak is.

Met het uitschrijven van je bedrijfsprocessen met de nadruk op privacy, ben je al een heel eind om te voldoen aan de nieuwe wet. Je kunt het over het algemeen vrij makkelijk rechtvaardigen, maar die rechtvaardiging moet wel gebeuren.

 Fotografie: Geert de Jong / CheeseWorks

 

 

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa