Zin en onzin van de nieuwe privacyregels
Vrijwel iedereen is het er over eens: het is een goede zaak dat met privacy en persoonsgegevens zorgvuldig wordt omgegaan. De wijze waarop is een ander verhaal.
Ruud Boerman
De Algemene Verordening Gegevensbescherming (AVG), waarin de nieuwe privacynormen zijn vervat en die per 25 mei 2018 van kracht wordt, is omvangrijk en gedetailleerd. Bovendien is er slechts een beperkte schriftelijke toelichting voorhanden. Op veel punten is er (nog) onduidelijkheid over de precieze invulling die gegeven moet worden aan in de verordening opgenomen begrippen en bepalingen. Die nadere invulling is aan de respectievelijke toezichthouders in de Europese landen en aan de Europese rechters.
Dat wordt terecht ook gesteld in de Handleiding Algemene verordening gegevensbescherming, die een aantal weken geleden is verschenen. Het is een dynamisch geheel, dat aan veranderingen onderhevig is en ook periodiek herzien zal worden, aan de hand van de laatste ontwikkelingen op het gebied van de toepassing en uitleg van de verordening.
Veel berichtgeving zorgt voor verwarring
Weliswaar begrijpelijk, maar bepaald storend is de algemene en commerciële berichtgeving over de invoering en implementatie van de verordening. Deze kenmerkt zich door slechts het wijzen op de complexiteit van de regelgeving, de bovenmatige en kostbare ook financiële inspanningen die moeten worden verricht om privacyproof te worden en door bangmakerij voor torenhoge boetes, zonder duidelijke handvatten. Dat helpt niet echt.
'De nadere invulling is aan de toezichthouders in de Europese landen en de Europese rechters.'
In de algemene berichtgeving wordt ook teveel uitgegaan van hoe meer maatregelen hoe beter, onder het mom van "je weet maar nooit"; zonder duidelijke basis en vereiste vanuit de AVG. Dat leidt tot allerlei onnodige acties en werkzaamheden. Ook beroepsorganisaties maken zich daaraan schuldig en creëren op die manier een diffuus beeld, waardoor organisaties niet weten waar ze aan toe zijn of wat ze moeten doen.
Ook de NBA maakt zich hier aan schuldig door - in zijn algemeenheid - maatregelen te suggereren die voor het gros van de mkb-accountantskantoren niet vereist worden door de AVG. Dat veroorzaakt veel onrust en kan en mag niet de bedoeling zijn. We gaan graag hierover met de NBA in gesprek.
Praktische aanpak
In de kern komt het erop neer dat een organisatie aantoonbaar beschikt over een beleid bescherming persoonsgegevens (ook wel privacybeleid), een register van verwerkingsactiviteiten, waar nodig gebruik maakt van verwerkersovereenkomsten en een protocol datalekken.
'De overvloedige publiciteit draagt niet bij aan het doel van de AVG.'
Verder ziet de verantwoordingplicht op het controleren en het nemen van passende technische en organisatorische maatregelen voor de beveiliging. In bepaalde meer specifieke gevallen kan een Privacy Impact Assessment (PIA) vereist zijn of een privacy officer (functionaris gegevensbescherming).
De overvloedige publiciteit draagt niet bij aan het doel van de AVG, het dient de privacybescherming niet en moet absoluut worden vermeden.
Gerelateerd
Corporate privacy?
De data van privépersonen wordt gretig verhandeld. Maar hoe zit dat met de data van bedrijven, vraagt Joris Joppe zich af.
Toegang UBO-register blijft beperkt
De toegang tot het UBO-register blijft beperkt tot instanties met een wettelijke taak bij het voorkomen en tegengaan van fraude, witwassen en terrorismefinanciering....
Europese waakhonden 'kijken kritisch' naar nieuwe regels Meta
De Autoriteit Persoonsgegevens en de andere Europese toezichthouders voor privacy gaan samen "kritisch kijken" naar de nieuwe gebruiksvoorwaarden van Facebook en...
Facebook en Instagram moeten stoppen met persoonlijke reclames
Facebook en Instagram mogen in Nederland en de andere Europese landen geen advertenties meer laten zien die zijn gebaseerd op het internetgedrag van gebruikers....
Megaclaim tegen Meta vanwege privacyschending
De Nederlandse Stichting Onderzoek Marktinformatie (SOMI) begint een claimzaak tegen Facebook-moederbedrijf Meta Platforms, vanwege privacyschendingen op het sociale...