Laatste nieuws
 
 
  Achtergrondartikelen  

Ingrijpend en verstrekkend voor automotive

De General Data Protection Regulation (GDPR) is Europese wetgeving die de privacy van persoonsgegevens van Europese burgers beschermt en eisen stelt aan onder andere de verwerking van deze data. In Nederland is deze bekend als de Algemene Verordening Gegevensbescherming AVG). Ofschoon de minister van Rechtsbescherming (Sander Dekker) heeft aangekondigd dat eerst en vooral voorlichtend zal worden opgetreden, wordt het nu toch wel echt tijd om de zaak serieus op te pakken.

Van de redactie

Deze wet is eigenlijk vanaf mei 2016 al van kracht, maar er was een overgangsperiode ingesteld die duurde tot 25 mei 2018. Tot die datum hadden bedrijven en organisaties de tijd om hun zaakjes op orde te brengen. Daarna wordt er daadwerkelijk gehandhaafd. De AVG heeft alleen al door zijn verschijningsvorm meer impact dan zijn voorganger. Het lijkt erop alsof de AVG de nieuwe ‘millenniumbug’ is: rampspoed voor alles en iedereen die zich niet tijdig aanpast aan de AVG. Maar hoe groot is het gevaar daadwerkelijk en wat kunt u doen om wél te voldoen aan die strenge privacywetgeving? In een industrie als de automotive waar veel gebruik wordt gemaakt van gegevens in, uit, rond auto’s, hun berijders, de aangekoppelde infrastructuur en andere apparaten via Internet of Things is het goed om te weten hoe deze wet nu in elkaar zit.

Het betreft hier namelijk een verordening en dat houdt in dat de nu nog 28 lidstaten van de EU de wet móeten invoeren én handhaven. Het betekent ook dat de bepalingen in de verordening rechtstreeks van toepassing zijn op álle lidstaten en dat lidstaten zelf geen nationale privacywetgeving meer nodig hebben. De verordening is bovendien een minimumeis en geeft de lidstaten slechts de ruimte om eigen aanvullende bepalingen te definiëren. Daar komt nog bij dat de boetes die kunnen worden opgelegd enorm kunnen oplopen.

Het kan om serieus geld gaan
De maximale geldboete onder de Wbp, 820.000 euro, stelt weinig voor in vergelijking met de maximale geldboete onder de AVG. Organisaties die verzuimen zich aan de bepalingen in de AVG te houden riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet in het afgelopen boekjaar; het hoogste bedrag telt. En dan gaat het ineens om serieus geld. Een betere trigger om te willen voldoen aan deze wetgeving kun je bijna niet verzinnen...

Nu krijg je natuurlijk niet zomaar een boete van die orde. Een organisatie kan deze boete echter wel verwachten bij het overtreden van bepaalde artikelen én bij het negeren van een bevel van de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens. Een lagere categorie geldboetes is van toepassing bij minder ernstige overtredingen, maar kan alsnog oplopen tot zo’n 10 miljoen euro of 2% van de wereldwijde jaaromzet. Ook hier wordt uitgegaan van het hoogste bedrag. Maar dat is niet de enige schade. Denk eens aan de imagoschade die een organisatie kan lijden in geval bekend wordt dat zij haar zaakjes niet op orde heeft met betrekking tot de persoonlijke – en dus gevoelige - gegevens van haar klanten en relaties. Consumenten kunnen daardoor het vertrouwen in een organisatie kwijtraken en de relatie beëindigen. Het gevolg voor grote concerns kan zelfs zijn dat de beurskoers onderuit gaat. Einde oefening…Aan de slag
Dat de gevolgen van de AVG voor een organisatie groot kunnen zijn, staat dus als een paal boven water. Ongeacht de sector of de omvang van de organisatie. Betekent dat dat alle inspanningen om data te verzamelen, te analyseren, te verrijken, op te slaan, te verwerken of verkopen nu verleden tijd zijn? Zeker niet, maar u moet wel tekst en uitleg kunnen geven over uw het hoe, wat en waarom van uw handelen. Hoog tijd om er werk van te maken dus...

Er moeten binnen de organisatie mensen en middelen beschikbaar komen om in kaart te brengen in hoeverre wordt voldaan aan de AVG: welke persoonsgegevens hebben we, wat doen we ermee, waarom hebben we die gegevens nodig, waar liggen de hiaten, waar ontbreekt beleid, wat zijn de risico’s? Dat kost geld. Maar u kunt het ook omdraaien. Door nu, om te kunnen voldoen aan de AVG, een degelijke analyse te maken van de complete datahuishouding snijdt het mes aan twee kanten.

In de eerste plaats voldoet uw organisatie aan de AVG; u kunt met een gerust hart zaken blijven doen en klantgericht te werk blijven gaan. Mochten er risico’s zijn in het kader van de nieuwe wetgeving dan kent u deze en weet uw organisatie hoe ze moet handelen in het geval van een datalek bijvoorbeeld. In de tweede plaats is deze exercitie een uitstekende mogelijkheid om het databeheer in het algemeen een stevige impuls te geven, doordat u inzicht krijgt in de waarde van data, de verantwoordelijkheid voor verschillende datasets en de retentieschema’s van data. Op die manier is uw organisatie in staat daadwerkelijk te focussen op waardevolle data en wordt een einde gemaakt aan al die ‘Dark Data’ die u net als veel andere organisaties ongetwijfeld heeft. Alleen u weet het niet (meer). Vandaar de term Dark Data…

Verplichtingen
Per 25 mei 2018 is dus de Algemene Verordening Gegevensbescherming officieel van toepassing geworden als opvolger van de wet Bescherming Persoonsgegevens. En wordt die ook als zodanig gehandhaafd! De wet Bescherming Persoonsgegevens zoals we die in Nederland kennen, geldt nu niet meer. Er zitten twee kanten aan de invoering van de AVG. Er is een kant die de gegevensbewerkers betreft en er is een kant die de eigenaren van de persoonsgegevens betreft. Voor organisaties die persoonsgegevens verwerken geldt na de invoering van de AVG dat zij meer verplichtingen en verantwoordelijkheden hebben gekregen. Er wordt in de AVG bijvoorbeeld meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Het is als bij de Belastingdienst: in geval van enige twijfel rond een mogelijke overtreding, is het aan u om aan te tonen dat u wél juist gehandeld heeft. Dat lukt uiteraard alleen goed als binnen de organisatie de documentatie rondom de gegevensverwerking en daarvan afgeleide processen op orde is. Dat is de documentatieplicht die is gekoppeld aan de AVG: alles dient te worden beschreven en vastgelegd om tijdens de gegevensverwerking – maar ook achteraf – te kunnen ontroleren of men zich aan de wet heeft gehouden en dat men de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Wet naleven
De AVG biedt organisaties tegelijkertijd allerlei instrumenten die hen helpen om de wet na te leven. De Bewerkersovereenkomst is zo’n instrument. Wanneer sprake is van externe partijen die een overeenkomst over werkzaamheden met betrekking tot gegevensbewerking met elkaar aangaan, wordt een zogenaamde Bewerkersovereenkomst verplicht gesteld. De Autoriteit Persoonsgegevens heeft daarvoor een modelovereenkomst samengesteld die partijen helpt duidelijke afspraken te maken (en vast te leggen) waar betrokkenen in geval van externe dienstverlening zich aan moeten houden. Daarin worden kort en goed alle afspraken tussen partijen over (aard van de) gegevens, processen en handelingen rondom de gegevensbewerking vastgelegd, met daarbij aangegeven wie welke verantwoordelijkheden heeft. De gegevensverwerker kan aantonen dat hij op correcte wijze met de gegevens van zijn klant (de afnemer van de producten of diensten) omgaat en dat er aantoonbaar geen sprake is van misbruik van vertrouwen. Ook dat is dus eigenlijk niet anders dan bij de Belastingdienst: de accountant (de dienstverlener) kan uw aangifte invullen, maar het is en blijft wel uw aangifte met uw gegevens en u moet in ieder geval de juiste gegevens aanleveren, zodat hij zijn werk goed kan doen. In dit geval moet de dienstverlener ervoor zorgen dat inzichtelijk is wat hij doet, hoe hij het doet en wat de  resultaten zijn.

Concrete veranderingen
Er zijn belangrijke veranderingen die per 1 mei 2018 van kracht zijn geworden. Dat zijn onder meer de volgende:

  1. Voor organisaties die gegevens bewerken geldt dan niet langer de meldplichtbij de Autoriteit Persoonsgegevens datzij dat doen. Let wel op: dit is niet hetzelfdeals het niet hoeven melden vandatalekken! Die meldplicht is onverkortvan kracht.
  2. Voor met name de overheid en de aan de overheid gerelateerde organisatiesgeldt dat zij een zogenaamde PrivacyImpact Assessment (PIA) moeten latenuitvoeren. Dit is een instrument omvooraf de privacy risico’s van gegevensverwerkingte kunnen inschatten. DiePIA is niet altijd en overal verplicht,maar in ieder geval wel als volgensverwachting een hoger risico voor de betrokkenen is verbonden aan de verwerkingvan die specifieke persoonsgegevens.Er bestaat een lijst met criteriadie maatgevend zijn voor de risicobepalingvan gegevensverwerking en deAutoriteit Persoonsgegevens heeft eenoverzicht van vormen van gegevensverwerkingwaarvoor een PIA verplicht is.
  3. Er kan ook sprake zijn van de verplichting om een specifieke functionaris voor gegevensbeschermingaan te stellen: zoals een Data Privacy Officer. Deze houdt zich expliciet bezigmet het toezicht op alle processen,protocollen en afspraken rondom degegevensverwerking. Er wordt daarbijonderscheid gemaakt tussen grotereen kleinere organisaties. Deze verplichting geldt vooral voor grotere organisatiesdie gegevens bijhouden vantenminste 250 personen. Voor kleinereorganisaties geldt die verplichting niet,dan wordt rekening gehouden met hungrootte voor wat het bijhouden van registersbetreft.

Eigenaar gegevens krijgt meer rechten
Voor de eigenaren van de persoonsgegevens verandert ook een en ander. Deze mensen krijgen meer mogelijkheden om zich te beschermen tegen ongewenst gebruik van hun gegevens:

  1. Er geldt binnen de AVG-wetgeving bijvoorbeeld in een aantal gevallen eenexpliciete verplichting voor het verkrijgenvan toestemming van de eigenaarom specifieke gegevens te mogen verwerken.Die toestemming is bovendiengebonden aan allerlei voorwaarden.
  2. Het intrekken van die toestemming moet ook weer eenvoudig kunnenplaatsvinden. Er mag de eigenaar van de persoonsgegevens daarbij niets in deweg gelegd worden.
  3. Het recht op verwijdering van gegevens bestond al, maar de AVG gaatnog een stapje verder. De eigenaar kaneisen van een organisatie dat ook alle aan haar gerelateerde organisaties diegebruik maken van de (bewerkte) gegevens,of deze hebben ontvangen, diegegevens ook verwijderen.
  4. Het recht op dataportabiliteit betekent dat de eigenaar het recht krijgt – onder bepaalde voorwaarden – dat de data ineen bepaald formaat aan hem wordenaangeleverd, zodat deze te hergebruikenzijn door de eigenaar zelf.

Wat betekenen al deze maatregelen en verplichtingen?
Het betekent dat u als organisatie te allen tijde grip moet hebben en houden op alle persoonsgebonden informatie die u in uw organisatie heeft. Daarvoor moet u daadwerkelijk weten wat er is, anders kunt u het immers ook niet beschermen of juist verwijderen als er om wordt gevraagd en kunt u dus ook niet voldoen aan deze nieuwe wet- en regelgeving. U moet weten waar bepaalde data zich bevindt, of en hoe die data mogelijk de organisatie verlaat (bijvoorbeeld doordat uw werknemers regelmatig mobiel zijn en vanaf een andere werkplek dan de beschermde kantooromgeving werken). Last but not least, u moet controleren of de gegevens die u heeft, nog steeds nodig zijn voor het doel wat u daarmee voor ogen had. Dat moet u bovendien kunnen uitleggen en aantonen, anders moet de data worden verwijderd. Dat is in de kern waar de AVG over gaat: weten wat er is, waar het is en waarvoor het nodig is. Dat is dus cruciaal om te kunnen voldoen aan de wet- en regelgeving.Optimaal profiteren
Er moet in de meeste gevallen serieus werk van worden gemaakt om compliant te zijn wanneer de AVG in 2018 in werking treedt. Dat kost tijd en geld, maar wie het goed aanpakt en stap voor stap alles doorloopt, is tegelijkertijd verzekerd van efficiënt én compliant data management om optimaal van te profiteren. Het gaat echter niet vanzelf. Deze veranderingen hebben een forse impact op de organisatie. Daarvoor is kennis en expertise nodig die misschien niet in huis is. Het is daarom raadzaam indien nodig externe expertise in te schakelen om te voorkomen dat bestaande activiteiten onder druk komen te staan. Beter vooraf wat meer tijd en geld investeren, dan achteraf tot de ontdekking komen dat het toch nog net niet helemaal waterdicht is of dat u inmiddels al heel wat business bent kwijtgeraakt.

Organisatie afstemmen op de AVG
Gezien het feit er veel acties dienen te worden ondernomen om uw organisatie te kunnen afstemmen op de AVG, is het raadzaam een en ander gestructureerd aan te pakken. De volgorde van activiteiten kan namelijk best van belang zijn. Stap voor stap geeft vaak het beste resultaat en u houdt daarbij beter overzicht.

1: Inventariseren
De eerste stap bestaat uit het maken van een inventarisatie van alle persoonsgebonden gegevens die binnen uw organisatie worden gebruikt. Daarmee krijgt u een beeld van wat er is en waar de risico’s liggen. Deze analyse gebeurt meestal door middel van een uitbereide vragenlijst, aan de hand van wat de AVG precies inhoudt op specifieke aspecten rondom persoonsgebonden gegevens. U weet na deze inventarisatie waar de hiaten zitten en kunt vervolgens door naar stap 2.

2: Plannen
Het is verstandig om een planning met tijdpad te maken met daarin de stip op de horizon waar u naartoe wilt en in welk tijdsbestek. Stel heldere doelen en een realistische planning, ofschoon er nu wel flink druk op de ketel staat. Heldere doelen en een goede planning scheppen duidelijkheid voor alle betrokkenen, zowel binnen als buiten uw organisatie en dat zal uiteindelijk tijd sparen. Wat betreft de betrokkenen: het feit dat uw organisatie geregeld in contact dient te treden met alle betrokkenen is een belangrijk aandachtspunt in de planning. Dit is voor veel organisaties nieuw. Parallel in deze fase loopt het proces om een visie te formuleren. Een visie die als leidraad dient voor de gehele organisatie op dit thema. Die visie is immers gekoppeld aan de doelen en de weg daar naar toe.

3: Veranderen
Strenge straffen voor de organisatie als geheel in het vooruitzicht stellen is in de meeste gevallen niet de beste manier om alle medewerkers spontaan mee te krijgen op weg naar compliancy voor de AVG. Het besef moet veel dieper doordringen: het denken over privacy en over het veilig, betrouwbaar en verantwoordelijk verwerken van persoonsgegevens moet deel gaan uitmaken van de dagelijkse werkzaamheden. Er moet bewustzijn gekweekt worden op alle niveaus binnen de organisatie. Dat zal echt niet altijd meevallen, zoals de meeste veranderingen binnen een organisatie niet van een leien  dakje gaan. Veranderen is altijd lastig en zeker bij dergelijke belangrijke zaken moet iedereen zich bewust zijn/worden van het belang. En dat kost nu eenmaal tijd. Op projectmatige basis worden vervolgens de hiaten die uit de analyse naar voren komen gedicht. Dit verschilt dus per organisatie. Er zal tijd moeten worden besteed aan het implementeren van de nieuwverworven rechten van betrokkenen, zoals het recht om vergeten te worden - toch wel het ingrijpendste recht als het gaat om de uitvoering. Maar denk ook aan het aanbrengen van verschillende databeveiligingsniveaus. Als onderdeel daarvan zullen data bijvoorbeeld geanonimiseerd moeten worden. Een ander project is het nalopen van contracten met leveranciers. Zijn er leveranciers waarmee een zogenaamde bewerkersovereenkomst afgesloten dient te worden? Zoals ook uit vorenstaand duidelijk is geworden, het is al snel noodzakelijk om een Functionaris Gegevensbescherming (Data Privacy Officer, DPO) aan te stellen. In dit stadium moet duidelijk worden wie welke opleidingen moeten gaan volgen, zodat op de juiste plaatsen in de organisatie - aantoonbaar - de vereiste kennis en deskundigheid aanwezig is.

4: Gebruiken
U heeft de projecten geïmplementeerd en de veranderingen die u in gang heeft gezet worden verankerd in de organisatie. Nieuw beleid en nieuwe processen worden uitgevoerd, en dat alles onder toezicht van de Functionaris Gegevensbeveiliging. Om het juiste gebruik te blijven garanderen is het raadzaam medewerkers te ondersteunen met coaching. Dat geldt ook voor alle nieuwe projecten, producten en diensten: het belang van de Privacy Impact Analyses (PIA) moet voor iedereen helder zijn. Waar liggen de risico’s, wat kunnen we doen om ze te voorkomen en hoe gaan we als organisatie hiermee om?

5: Auditen
Aansluitend op stap 4: om blijvend te kunnen voldoen aan wet- en regelgeving dient in de laatste stap het auditen en bewaken van afspraken een vast onderdeel van de (periodieke) praktijk te worden. Dat is een van de kerntaken van de Functionaris Gegevensbescherming. Deze houdt toezicht en blijft te allen tijde in control. Zorg er tevens voor dat medewerkers de beveiliging van persoonsgebonden gegevens blijvend als een belangrijk onderdeel in hun werk zien. Voor elke nieuwe medewerker is het van belang direct in te stappen met de juiste ‘mindset’.

Welke garanties heeft u dat uw gegevens juist worden verwerkt?
Het mag duidelijk zijn dat het uiterst complexe materie is om zorgvuldig om te (kunnen) gaan met gegevens, processen en procedures rondom gevoelige persoonlijke informatie. Veel organisaties willen om die reden dat liever uitbesteden aan specialisten. Om er daarmee zeker van te zijn dat ze optimaal kunnen voldoen aan de wensen van hún klanten en aan de wet- en regelgeving, met uitsluiting van alle (zo veel mogelijk) denkbare risico’s. In het kader van die externe dienstverlening – uitbesteding bij gespecialiseerde partners - wilt u als afnemer van die diensten echter ook de garantie dat uw gegevens vertrouwelijk worden behandeld en dat geen onbevoegde ogen toegang krijgen tot die gegevens. U maakt afspraken met de dienstverlener, maar kunt u die afspraken ook controleren? Of laten controleren? Waaraan kunt u een betrouwbare dienstverlener herkennen?

Er zijn diverse certificeringen die u in ieder geval dat goede gevoel kunnen geven. Het gevoel dat de dienstverlener waarmee u samenwerkt – in redelijkheid en billijkheid – alles heeft gedaan te kunnen voldoen aan de wetgeving. Of waarmee u als dienstverlener uw klanten duidelijk kunt maken dat u dat doet.


Beeld: 123RF.COM

Plaats op:
Datum: 23 juli 2018
Bron: AutoleaseWereld
Gerelateerde artikelen  
26-10-2017 Achtergrondartikelen Wat moet je eigenlijk met de Algemene Verordening Gegevensbescherming?
03-09-2018 Achtergrondartikelen Wat betekenen Privacy én Big Data voor de fleetprofessional?
01-10-2018 Achtergrondartikelen AVG biedt kansen voor de branche
15-05-2018 Nieuws Nieuwe Europese privacyregels weer een stap dichterbij
07-05-2018 Nieuws Nog veel onbekend rond AVG bij bedrijven
 
 

- partners -

 
 
 
 
 
� 2005 - 2020 Vakwereld. All rights reserved Pagina geladen in 0,49 seconden.