AVG-compliance: it is a long way to go

Bakir Lashkari
De implementatie van de Algemene verordening gegevensbescherming (AVG) heeft het thema databescherming bij veel organisaties hoog op de bedrijfsagenda gezet. Maar compliance is daarmee nog niet zover:  “it is a long way to go”.  Er is nog veel onduidelijkheid over de Algemene verordening gegevensbescherming (AVG). Nu, medio september 2018 maken we even een tussenbalans op. Voor de hoofdonderwerpen uit de AVG zijn inmiddels op Europees niveau richtlijnen / guidelines samengesteld. Deze  geven adviezen over de uitleg van belangrijke onderdelen van de wet, maar ze zijn niet in alle situaties doelmatig hanteerbaar. Daarnaast zijn nog niet alle guidelines in het Nederlands voorhanden.

Voor veel organisaties is aan de onduidelijkheden en onzekerheden over de juiste toepassing van de Algemene verordening gegevensbescherming (AVG) dus nog geen einde gekomen. De open normen uit de AVG krijgen pas invulling en duidelijkheid als toezichthouders onderzoeken gaan effectueren. De hamvraag in Nederland blijft: hoe consequent gaat de Autoriteit Persoonsgegevens (AP) de requirements dan concretiseren? Van onderzoeken en procedures die hebben plaatsgevonden onder de Wet bescherming persoonsgegevens kennen we dat soortgelijke zaken jarenlang kunnen gaan duren. Is er op korte termijn meer duidelijkheid te verwachten?  De interpretatie van nieuwe regels uit de AVG, zoals de verplichting om een data protection impact assessment (DPIA) uit te voeren, zijn “most exciting” voor consultants. In welke situaties geldt die verplichting precies? De AP heeft inmiddels een niet-uitputtende lijst opgesteld met situaties waarbij de DPIA verplicht is. Maar deze moet nog op Europees niveau worden goedgekeurd. Uiteindelijk is het aan de toezichthouders om echt beslissingen te nemen over dit soort uitvoeringen van de wet.
Dreiging van boetes
De prioriteit van AVG-compliance hangt voor veel organisaties samen met de nieuwe boetebevoegdheden die de AP sinds 25 mei 2018 heeft. Hoe gaat de toezichthouder optreden en handhaven? Volgens het toezichtkader 2018-2019 ligt de focus van het toezicht van de AP de komende periode op overheidsorganisaties, zorginstellingen en bedrijven die handelen in data.
Bijzondere aandacht is er voor datalekken. Een partij die op dit moment gegevens doorverkoopt zonder toestemming van betrokkenen loopt een risico op boete. Dat geldt ook voor de bescherming tegen datalekken: bedrijven kunnen al sinds 2016 beboet worden als de beveiliging daartegen onvoldoende is.
Tot nu toe gaat de AP vooral steekproefsgewijs aan het werk. Zo is er een onderzoek gestart naar naleving van de registerplicht bij dertig bedrijven in tien sectoren. Daarnaast zijn meer dan honderd ziekenhuizen en zorgverzekeraars en vierhonderd overheidsinstellingen gecontroleerd op de verplichte aanstelling van een Functionaris voor de Gegevensbescherming (FG). De AP blijkt dus nog niet een specifieke organisatie te zijn binnengestapt om de compliance van A tot Z te checken. Het is ook de vraag of zo’n handhavingsactie direct zou leiden tot een boete. Het sanctiestelsel van de AVG bepaalt dat een toezichthouder moet kijken wat het meest passende middel is: dat kan een boete zijn, maar ook een waarschuwing of berisping. De AP heeft al sinds 2016 een boetebevoegdheid, maar heeft daarvan nog geen gebruik gemaakt.
Compliance
De steekproeven van de AP kunnen op korte termijn een serieus effect hebben op de werkzaamheden bij compliance. Door bij bedrijven, zorginstellingen en overheidsinstanties een specifieke AVG-requirement onder de loep te nemen, kan de toezichthouder misschien wel meer impact sorteren dan door bij één organisatie na maandenlang onderzoek een sanctie op te leggen. De boetedreiging is met name voor bedrijven die bewust de grenzen van het wettelijk toelaatbare opzoeken een goede prikkel om rekening te houden met de requirements.
De verwachting is dat als de toezichthouder intern de zaken op orde heeft en wellicht ook meer budget ter beschikking heeft  er wel eens een boete uitgedeeld gaat worden. Belangrijk  om als toezichthouder serieus genomen te worden. De internationale samenhang speelt daarbij ook een rol: het sanctiestelsel in de Europese Unie is geharmoniseerd. Dat betekent bijvoorbeeld dat tegen vergelijkbare delicten op dezelfde manier gehandeld moet worden. Als andere toezichthouders eenmaal boetes gaan uitdelen, dan kan de AP moeilijk achterblijven.
Compliance aan het werk
Soms zijn er grote organisaties met ambitieuze consultants die beloven dat ze een organisatie met een softwareprogramma binnen een uurtje compliant kunnen maken of de hele AVG requirements binnen 3 maanden op orde hebben… Dat is erg ambitieus. Bij grote organisaties en instellingen is serieuze, structurele aandacht voor databescherming noodzakelijk. In de aanloop naar 25 mei hebben sommige organisaties geprobeerd de basis op orde te brengen. Met bijvoorbeeld een register van verwerkingsactiviteiten, een procedure voor de omgang met inzageverzoeken en andere rechten van betrokkenen en een heldere privacyverklaring.
Veel organisaties onderschatten wat ze nog allemaal moeten doen om compliant te worden en te blijven. Het heeft geen zin om te verwijzen naar andere organisaties die de regels niet naleven, bijvoorbeeld omdat die de privacyverklaring ook nog niet hebben geüpdatet. Iedere organisatie heeft een eigen verantwoordelijkheid om compliant te zijn.
A wake up call
Het voornaamste is dat organisaties realiseren: “It is a long way to go”, over de boodschap die je de compliance officers mee moet geven. Er is nog veel werk aan de winkel. Men denkt alles gedaan te hebben op het gebied van compliance, dan begint het eigenlijk om opnieuw met als voorbeeld nieuwe rechterlijke uitspraken en guidelines van toezichthouders. De e-privacy verordening komt er straks ook nog aan. Deze kan enorme invloed hebben op de huidige marketingactiviteiten – vrijwel iedere organisatie verstuurt wel een nieuwsbrief en past cookies toe. Het proces van privacy regelnaleving vraagt dan ook om continu aandacht. .
Een positieve ontwikkeling is dat het vak van privacy officer meer volwassen is geworden. Databescherming is niet langer iets dat iemand van personeelszaken er even bij doet. De European Data Protection Board noemt de onverplichte benoeming van een FG niet zomaar een best practice. Dat betekent niet dat de verantwoordelijkheid voor databescherming geheel bij één persoon komt te liggen. Er komt veel op de privacy officer. Daarom beslissen grote organisaties dikwijls op afdelings- of teamniveau privacy champions aan te stellen, die als 1st line of defence optreden en bij vragen de privacy officer er snel bij kunnen betrekken. Privacy officers moeten een helikopter view op het krachtveld blijven monitoren en de nieuwe trends kennen.