AVG-bestendigheid; De schijnzekerheid van cosmetische handelingen
Bijna 4 jaar na de invoering van de AVG, de Nederlandse naam voor de Europese privacywet GDPR, weten nog steeds veel organisaties en ondernemingen niet hoe met de persoonsgegevens om te gaan om te voldoen aan de wet. Dit is zeer begrijpelijk omdat het moeilijk is om deze complexe wetgeving door te voeren in de praktijk. Het is gewoonweg moeilijk te begrijpen hoe intern alles ingericht dient te worden en hoe aan om alle verplichtingen kan worden. Dan hebben we het niet alleen over de inrichting van de gedigitaliseerde en analoge administratieve structuren maar ook over de instructies over bijvoorbeeld veilig mailverkeer, – gegevensverwerking en een veilig code en sleutelbeleid die aan de medewerkers moeten worden gegeven om een optimale bescherming en beveiliging te realiseren van de opgeslagen persoonsgegevens waar mee gewerkt wordt.
Let wel. Het gaat om alle opgeslagen gegevens van natuurlijke personen. Dus naast de gegevens van klanten, patiënten en andere relaties gaat het ook om de gegevens van alle werknemers van al die organisaties, instellingen en ondernemingen. Eenvoudig gezegd gaat het om alle persoonsgegevens van alle EU-burgers die deze op grote schaal, elke dag weer, verstrekken.
Daarmee is iedere leidinggevende of bestuurder ook een burger die zijn of haar gegevens overal verstrekt en die moeten worden beschermd. De privacybescherming gaat ons dus allemaal aan. Het is een grondrecht en als zodanig onder andere ook vastgelegd in de Nederlandse grondwet en het Europese Handvest.
De rechten van de burger – een voorbeeld –
Een van de onderdelen in de AVG gaat over het recht van iedere verstrekker van gegevens om zijn of haar gegevens in te zien, te laten wissen, wijzigingen of te laten overdragen. De verstrekker kan ook de toestemming intrekken om nog langer met de gegevens te werken.
Wordt aan deze verzoeken niet voldaan, dan kan daar bezwaar tegen worden gemaakt en zelfs een klacht tegen worden ingediend. Het uiteindelijk gevolg kan zijn dat er een boete wordt opgelegd aan de onderneming of organisatie. De Autoriteit Persoonsgegevens bepaald dan de aard van de schending en de boete die daarbij hoort.
Wat hierboven wordt benoemd is een niet complex gedeelte van de verplichtingen die de AVG oplegt. Iedere ondernemer is hiervan inmiddels op de hoogte en zal zijn werknemers op dit vlak goed geïnformeerd hebben. Ook de verplichte registers en verklaringen, zoals het verwerkings- en datalekregister en de privacy en cookieverklaring op de website, zijn inmiddels gemeengoed geworden.
Schijnzekerheid
Maar met (eenvoudige) instructies aan medewerkers en het invoeren van verplichte documenten wordt de AVG-bestendigheid niet bereikt.
Eigenlijk is er dan slechts sprake van ( zeker met het alleen aanbrengen van de documenten) cosmetische handelingen waarmee de indruk wordt gewekt dat aan de AVG wordt voldaan. Maar waar het om draait in de privacywet, de maximale en optimale gegevensbescherming, is hiermee uiteraard niet gegarandeerd. Men kan ook zeggen: De rechten van de gegevens verstrekker zijn niet gewaarborgd.
Kosten kennis en tijd
Door de complexiteit van de wet en de tijd die het kost om deze eigen te maken is het een gemiddelde onderneming, instelling of organisatie niet aan te rekenen als er niet wordt voldaan aan de AVG. Er wordt nog steeds gewerkt aan producten of diensten te leveren waardoor een onderneming dit wel kan. En een specialist inhuren is niet voor iedere ondernemer weggelegd. Ook een specialist, een Functionaris Gegevensbescherming of Private Officer, heeft tijd nodig om alles naar een AVG acceptabel niveau te tillen. Dat is al het geval bij ondernemingen van beperkte omvang. Meestal neemt alleen al de inventarisatie van wat er moet gaan gebeuren behoorlijk veel tijd in beslag.
Het kapstokartikel voor de ondernemer
In artikel 24 lid 1 van de AVG wordt in hoofdlijnen beschreven wat er moet gebeuren. In de uitwerking van de AVG worden verwerkingsverantwoordelijken, ondernemingen, instellingen en organisaties onderscheiden. En opgesomd wat de eisen zijn waaraan moet worden voldaan.
De verwerkingsverantwoordelijke heeft de verplichting passende technische en organisatorische maatregelen in te voeren om te kunnen waarborgen en te kunnen aantonen dat de verwerking van de persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd. Kort gezegd; het gaat om een veilige infrastructuur voor de opgeslagen persoonsgegevens.
Met deze algemene terminologie moet men het doen. Vul het zelf maar in. Het wordt overgelaten aan de ondernemingen, instellingen, organisaties zelf om dit te regelen.
Het komt er vrij vertaald in ieder geval op neer dat er intern alles aan gedaan moet worden om de aanwezige privacygevoelige gegevens maximaal en optimaal te beschermen. Dit raakt zowel de administratieve – als ook de ICT, infrastructuur. De wijze waarop het moet worden gedaan wordt verder niet ingevuld.
De onderneming AVG bestendig maken
Om dit te kunnen realiseren moet natuurlijk eerst duidelijk zijn wat de actuele status van de infrastructuur is. Anders blijft onbekend wat er gewijzigd en aangepast moet worden en op welke wijze.
De wijzigingen en aanpassingen moeten in ieder geval op een zodanige wijze gebeuren dat aan alle AVG-verplichtingen is voldaan van artikel 24.
Of nog wordt voldaan aan de AVG moet bij herhaling gecontroleerd worden garanderen en aantonen. Het is geen statisch proces.
Een goede technische infrastructuur, de bijhorende organisatie vereist en maatregelen kan alleen worden gegarandeerd door voortdurende controles, eventuele aanpassingen en vernieuwingen binnen de ICT-omgeving. Denk maar aan alle hackings en datalekken waardoor blijkt dat de data niet voldoende konden worden beschermd en waarover we dagelijks geïnformeerd worden. De gegevens komen in handen van onbevoegden met alle mogelijke gevolgen van dien, waaronder reputatie -schade Het gevolg kan worden kan het einde betekenen van een onderneming.
Hetzelfde geldt voor de organisatorische infrastructuur. Ook die moet voortdurend worden gecontroleerd en indien noodzakelijk aangepast te worden. De verstrekkers van gegevens moeten de controle hebben en houden over het werken met de persoonsgegevens. Dat leidt tot de volgende vragen; wat mag opgeslagen worden en hoe? Naar wie mag het gezonden worden en naar wie zeker niet? Wanneer moeten gegevens verwijderd worden? Zijn er risico’s aan de verwerking verbonden? Wat dient er vervolgens te gebeuren? Zijn de gegevens in verkeerde handen gekomen en hoe moet er vervolgens gehandeld worden? Is een medewerker wel bevoegd om met deze specifieke gegevens te werken en is dit veilig genoeg gebeurd enz. enz. enz.?
Conclusie
Het enkel gebruiken van register en verklaringen in combinatie met instructies aan de medewerkers om een onderneming of organisatie naar het niveau van AVG bestendig te tillen, kost tijd en vereist kennis. De persoonsgegevens worden niet beschermd door een paar, weliswaar verplichte, registers of documenten aangevuld met een serie instructies. Met deze cosmetische handelingen voldoet een onderneming of organisatie niet aan de verplichtingen van de AVG. Het gaat uiteindelijk om een infrastructuur, zowel technisch als organisatorisch, waarbij alle verplichtingen van de AVG volledig onder controle zijn. De wijze waarop en methode waarmee de AVG-bestendigheid structureel wordt bereikt wordt voor u nog uiteengezet.
General Data Protection
