De Europese Algemene Verordening Gegevensbescherming (AVG) bevat substantiële sancties voor niet-naleving: de boetes kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Dit heeft ertoe geleid dat de AVG op de agenda is komen te staan van veel grote bedrijven. De AVG treedt op 25 mei 2018 in werking: het nu is tijd om aan de slag te gaan, want implementatie blijkt een kostbare en tijdrovende opgave.
Hoewel de AVG op een aantal punten verder gaat dan de huidige Wet bescherming persoonsgegevens (Wbp) en tevens een aantal nieuwe beginselen en verplichtingen introduceert, blijven veel uitgangspunten ongewijzigd. Onder de Wbp gold bijvoorbeeld al dat persoonsgegevens niet mogen worden gebruikt tenzij hiervoor een geldige grondslag aanwezig is[1].
Wat maakt implementatie zo lastig?
De belangrijkste reden is dat veel bedrijven in de meeste gevallen onvoldoende hebben gedaan om de huidige regels op een juiste manier te implementeren. Dit werd in de hand gewerkt doordat er nauwelijks sancties voor niet-naleving werden opgelegd. Ook waren consumenten slecht geïnformeerd over hun rechten. Hierdoor zagen bedrijven zich in het verleden bijvoorbeeld nauwelijks geconfronteerd met verzoeken van consumenten hun persoonsgegevens in te zien[2].
Ten tweede is het gebruik van persoonsgegevens in de afgelopen jaren exponentieel toegenomen. Bedrijven gebruiken een breed scala van gegevens, bijvoorbeeld om gedetailleerde profielen van klanten te maken. Zodra gegevens zoals bijvoorbeeld klantnummers, IP adressen, of GPS-coördinaten, herleidbaar zijn tot een individu kwalificeren deze gegevens als persoonsgegevens en is de AVG van toepassing.
De derde reden hangt samen met de introductie van het accountability principe in de AVG. Dit principe brengt onder meer met zich mee dat elk gebruik van persoonsgegevens in detail moet worden gedocumenteerd. Tevens moet voor ieder gebruik worden aangetoond dat er een geldige grondslag is. Ook dienen bedrijven voor bepaalde privacy gevoelige processen zogenoemde privacy impact assessments uit te voeren en vast te leggen zodat aangetoond kan worden dat bij de ontwikkeling van een product of dienst rekening is gehouden met privacy. Een belangrijk beginsel hierbij is dat het gebruik van persoonsgegevens zoveel mogelijk moet worden beperkt.
Bedrijven moeten een privacy beleid opstellen dat past in de kaders die de AVG stelt. Er is geen one-size-fits-all oplossing, omdat veel van de normen open zijn. Een voorbeeld hiervan is dat bedrijven adequate organisatorische en technische beschermingsmaatregelen moeten implementeren. Dit vereist een afweging waarbij een bepaald gebruik van persoonsgegevens, bijvoorbeeld een database van klantgegevens, afgewogen dient te worden tegen de kosten en tijd die gemoeid gaan met de implementatie van beveiligingsmaatregelen.
Voor zover bedrijven nog niet begonnen zijn met de implementatie van de AVG; nu is de hoogste tijd. Een eerste stap is in detail het huidige gebruik van persoonsgegevens onder de loep nemen zodat een gap analysis kan worden gemaakt. Vervolgens dient te worden geïdentificeerd welke wijzigingen er noodzakelijk zijn. In veel gevallen zullen aanpassingen van IT systemen nodig zijn[3] en ook bedrijfsprocessen zullen soms moeten worden aangepast. Naast deze structurele wijzigingen is er nog een scala aan overige aspecten van belang; moet er een functionaris voor gegevensbescherming worden benoemd? Zijn senior stakeholders en werknemers die met persoonsgegevens werken voldoende op de hoogte van de AVG? Is er een beleid voor datalekken?
Het is een illusie om te denken dat in mei 2018 alle bedrijven volledig compliant zullen zijn. Bedrijven moeten tegen die tijd in elk geval aantonen dat zij een privacy beleid hebben ontwikkeld en actief werken aan volledige implementatie binnen de gehele organisatie. Indien er tegen die tijd een aantal structurele wijzigingen nog niet helemaal voltooid is, is het belangrijk dat er een duidelijke roadmap klaarligt die kan worden gebruikt voor de doorvoering van dergelijke wijzigingen.
