Ruud Boerman

De Algemene Verordening Gegevensbescherming (AVG), waarin de nieuwe privacynormen zijn vervat en die per 25 mei 2018 van kracht wordt, is omvangrijk en gedetailleerd. Bovendien is er slechts een beperkte schriftelijke toelichting voorhanden. Op veel punten is er (nog) onduidelijkheid over de precieze invulling die gegeven moet worden aan in de verordening opgenomen begrippen en bepalingen. Die nadere invulling is aan de respectievelijke toezichthouders in de Europese landen en aan de Europese rechters.

Dat wordt terecht ook gesteld in de Handleiding Algemene verordening gegevensbescherming, die een aantal weken geleden is verschenen. Het is een dynamisch geheel, dat aan veranderingen onderhevig is en ook periodiek herzien zal worden, aan de hand van de laatste ontwikkelingen op het gebied van de toepassing en uitleg van de verordening.

Veel berichtgeving zorgt voor verwarring

Weliswaar begrijpelijk, maar bepaald storend is de algemene en commerciële berichtgeving over de invoering en implementatie van de verordening. Deze kenmerkt zich door slechts het wijzen op de complexiteit van de regelgeving, de bovenmatige en kostbare ook financiële inspanningen die moeten worden verricht om privacyproof te worden en door bangmakerij voor torenhoge boetes, zonder duidelijke handvatten. Dat helpt niet echt.

'De nadere invulling is aan de toezichthouders in de Europese landen en de Europese rechters.'

In de algemene berichtgeving wordt ook teveel uitgegaan van hoe meer maatregelen hoe beter, onder het mom van "je weet maar nooit"; zonder duidelijke basis en vereiste vanuit de AVG. Dat leidt tot allerlei onnodige acties en werkzaamheden. Ook beroepsorganisaties maken zich daaraan schuldig en creëren op die manier een diffuus beeld, waardoor organisaties niet weten waar ze aan toe zijn of wat ze moeten doen.

Ook de NBA maakt zich hier aan schuldig door - in zijn algemeenheid -  maatregelen te suggereren die voor het gros van de mkb-accountantskantoren niet vereist worden door de AVG. Dat veroorzaakt veel onrust en kan en mag niet de bedoeling zijn. We gaan graag hierover met de NBA in gesprek.

Praktische aanpak

In de kern komt het erop neer dat een organisatie aantoonbaar beschikt over een beleid bescherming persoonsgegevens (ook wel privacybeleid), een register van verwerkingsactiviteiten, waar nodig gebruik maakt van verwerkersovereenkomsten en een protocol datalekken.

'De overvloedige publiciteit draagt niet bij aan het doel van de AVG.'

Verder ziet de verantwoordingplicht op het controleren en het nemen van passende technische en organisatorische maatregelen voor de beveiliging. In bepaalde meer specifieke gevallen kan een Privacy Impact Assessment (PIA) vereist zijn of een privacy officer (functionaris gegevensbescherming).

De overvloedige publiciteit draagt niet bij aan het doel van de AVG, het dient de privacybescherming niet en moet absoluut worden vermeden.