Bedrijfsjuristen hebben hun handen vol aan de Algemene Verordening Gegevensbescherming. Vanaf 25 mei moeten organisaties die persoonsgegevens verzamelen en verwerken aan strengere privacyregels voldoen. Zij hebben zich daar twee jaar op kunnen voorbereiden. Zijn ze er klaar voor?
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht, die op 25 mei 2016 is afgekondigd (zie kader). In de hele Europese Unie geldt dan dezelfde privacywetgeving. De nieuwe verordening vervangt de Wet bescherming persoonsgegevens en de Wet meldplicht datalekken. De AVG − ook wel bekend als General Data Protection Regulation (GDPR) − zorgt voor versterking en uitbreiding van privacyrechten, meer verplichtingen en verantwoordelijkheden voor betreffende organisaties en geeft alle Europese privacytoezichthouders dezelfde bevoegdheden. Zo kunnen ze bij overtredingen boetes opleggen tot twintig miljoen euro of vier procent van de wereldwijde omzet. Het onvoldoende beveiligen van persoonsgegevens of niet tijdig melden van een ernstig datalek kan zelfs leiden tot persoonlijke aansprakelijkheid van bestuurders. In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op naleving.
De Algemene Verordening Gegevensbescherming
Alle organisaties, groot en klein, maar ook zzp’ers moeten aan de AVG voldoen. Met de AVG worden privacyrechten van personen verbeterd en uitgebreid. Mensen krijgen meer mogelijkheden voor zichzelf op te komen bij de verwerking van hun gegevens. Zo kunnen ze eisen dat een organisatie de verwijdering van hun gegevens doorgeeft aan andere organisaties die ze van deze organisatie hebben gekregen.
De AVG legt meer nadruk op de verantwoordelijkheid van organisaties. Zij kunnen onder meer verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, waarna maatregelen kunnen worden genomen om die risico’s te verkleinen.
De AVG vervangt niet alleen de Wet bescherming persoonsgegevens, die was gebaseerd op de Europese privacyrichtlijn uit 1995, maar ook de in januari 2016 in werking getreden Wet meldplicht datalekken. Nieuw is onder meer dat de toezichthouder alleen geïnformeerd hoeft te worden als er daadwerkelijk een lek is geweest, niet al bij een vermoeden.
Naast de AVG is er een aparte richtlijn voor de gegevensbescherming bij politie en justitie.
Creatief
Organisaties hebben twee jaar de tijd gekregen om hun systemen, processen en interne organisatie af te stemmen op de nieuwe privacyregels. Toezichthouders en privacy-experts adviseerden hier tijdig mee te beginnen en zo snel mogelijk de benodigde kennis in huis te hebben. Veel organisaties zijn hier nog druk mee bezig. Gewaarschuwd is voor het toenemende tekort aan specialisten, zoals privacy counsels, compliance officers en functionarissen voor de gegevensbescherming (FG). Voor publieke instanties is een FG verplicht, en ook grote instellingen die persoonsgegevens verwerken en kleinere die zich met bijzondere persoonsgegevens bezighouden moeten een FG aanstellen. Deze moet de organisatie adviseren en informeren over wettelijke plichten, toezien op naleving ervan en samenwerken met de toezichthouder. “Wie dit kort voor mei 2018 nog denkt te regelen, is te laat”, meldde Thomas van Vliet, recruitment consultant Legal bij Robert Walters, afgelopen zomer in Mr. Nu zegt hij: “Bedrijven proberen op verschillende manieren specialistische kennis in huis te halen. Ze schakelen een advocatenkantoor in, laten zich ondersteunen door consultants of huren een legal professional met privacy-expertise in. Omdat alles nog nieuw is zijn er bijna geen kandidaten in de markt met precies het geschikte functieprofiel. We zien dat bedrijven creatief zoeken naar een oplossing voor dit probleem. Een positieve ontwikkeling is dat tal van bedrijfsjuristen bezig zijn hun privacykennis te vergroten. Ze volgen cursussen, laten zich omscholen.”
Reputatiemanager
De AVG legt de nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat ze zich aan de privacyregels houden. Ook moeten ze kunnen laten zien dat ze de juiste organisatorische en technische maatregelen hebben genomen om persoonsgegevens te beschermen.
Privacy & IT Security is een van de ‘wakkerligpunten’ van de bedrijfsjurist, bleek uit onderzoek van Houthoff onder ruim 200 bedrijfsjuristen in 2017. Tijdens de door Houthoff en het Nederlands Genootschap van Bedrijfsjuristen georganiseerde Bedrijfsjuristen Monitor eind maart bleek dat veel bedrijfsjuristen in het kader van de naderende AVG al veel werk hebben verzet en procedureel hun zaken redelijk goed op orde hebben, zegt Tim de Boer, hoofd Marketing bij Houthoff. “Veel ingewikkelder is de IT erachter. Trendonderzoeker en foresight expert Andrea Wiegman, een van de sprekers op ons event, wees er dan ook op dat zelfs bij goede bescherming persoonsgegevens toch kunnen worden gehackt.” Om ervoor te zorgen dat organisaties minder kwetsbaar zijn zouden juristen meer moeten leren over IT, beveiliging en misschien zelfs met ethische hackers moeten meekijken, schrijft Wiegman in de Bedrijfsjuristen Monitor jubileumuitgave. Samenwerken met IT- en cybersecurity-experts, met de communicatieafdeling en bestuurders wordt voor bedrijfsjuristen steeds belangrijker. Ook zouden ze zelf relevante IT-kennis moeten hebben. De Boer: “Wiegmans visie sluit mooi aan bij die van Farid Tabarki, schrijver en oprichter van Studio Zeitgeist. Hij wees erop dat er enerzijds een roep is om betere bescherming van persoonsgegevens, terwijl anderzijds sprake is van radicale transparantie. In het kader van zijn presentatie over governance en ethiek gaf hij aan dat mensen steeds meer willen weten en daartoe ook de mogelijkheden hebben. Organisaties zijn steeds meer glazen huizen en worden door iedereen bekeken. Dit heeft gevolgen voor de rol van de bedrijfsjurist, die steeds meer ook reputatiemanager wordt.”
Grote kluif
Ayche Linsen, senior legal counsel bij HEMA, vertelt over de ‘AVG-aanpak’ van haar werkgever. “Het thema privacy is bij ons opgedragen aan de afdelingen Audit & risk en Legal, en ook de ICT-manager is er nauw bij betrokken. In de afgelopen twee jaar, en ook ervoor al, is er heel veel werk verzet.” Ook onder de Wbp gold al een informatieplicht, maar de AVG werkt dit concreter uit en stelt eisen aan de transparantie van de verwerking en communicatie naar betrokkenen. Bestaande en nieuwe klanten moeten duidelijk geïnformeerd worden over wat er met hun persoonsgegevens gebeurt. Dit kan in een online privacyverklaring. “Toen ik in 2016 bij HEMA begon heb ik me meteen gericht op het loyaltyprogramma, dat koopgedrag van klanten beloont en bevordert, en de privacyverklaring. Om te voldoen aan de eisen van de AVG moesten dit loyaltyprogramma en privacysta-tement meer op elkaar worden afgestemd. Ook hebben we een datalek-responsteam geformeerd.”
Veel organisaties zijn verplicht een register van verwerkingsactiviteiten bij te houden. Dit geldt onder andere voor organisaties met meer dan 250 medewerkers, zoals HEMA. De AVG schrijft voor welke informatie een ‘verwerkingsverantwoordelijke’ en de ‘verwerker’ die in diens opdracht informatie verwerkt in dit register moeten geven. Zo moeten verwerkingsverantwoordelijken informeren over doel van de opslag, bewaartermijn en beveiligingsmaatregelen. Linsen: “Met dit register ben ik al heel vroeg begonnen. We hebben een interne scan uitgevoerd waarbij we iedereen hebben gevraagd nog eens goed te kijken naar alle overeenkomsten die met leveranciers en ketenpartners zijn gesloten. Op basis daarvan hebben we het register opgesteld. Ook onze eigen verwerkingen moeten we daarin opnemen.”
Om medewerkers voor te lichten over het nieuwe privacybeleid startte HEMA een awareness-programma, waarbij workshops zijn gegeven aan verschillende afdelingen. “Dat was een grote kluif”, zegt Linsen. “We zien nu duidelijk dat medewerkers zich bewuster zijn van de noodzaak van de nieuwe privacyregels. Ook nieuwe collega’s zullen worden voorgelicht. Het privacybeleid is een proces dat permanent onderhoud en alertheid vergt.”
In februari heeft HEMA een externe organisatie laten beoordelen hoe ‘AVG-compliant’ het bedrijf nu is. “Hiermee hebben we nog meer inzicht gekregen in wat er nog moet gebeuren. Dat werk gaan we uitbesteden. We hebben zowel grote accountants- en auditbedrijven als zzp’ers en advocaten met veel kennis over privacy benaderd en zullen daaruit een partij kiezen die dit kan uitvoeren op een manier die het beste bij HEMA past. Ik hoop dat ze snel aan de slag gaan.” Linsen verwacht dat er ook op korte termijn een functionaris voor de gegevensbescherming zal worden geworven. “Hij of zij zal het privacy-aanspreekpunt worden, maar als bedrijfsjurist zal ik mij ook dan nog steeds intensief met het privacybeleid blijven bezighouden.”
Tevreden stelt ze vast dat de AVG uitgaat van de zogeheten ‘onestopshop-regel’: organisaties die grensoverschrijdende gegevensverwerkingen uitvoeren hoeven maar met één privacytoezichthouder zaken te doen. “Met ons hoofdkantoor in Nederland is het voor ons prettig dat dit de Autoriteit Persoonsgegevens is. Ik ben opgelucht dat we ons met eventuele kwesties niet ook tot andere Europese toezichthouders hoeven te richten.”
Ze vertrouwt erop dat de AP bij naleving van de nieuwe verordening proportioneel zal optreden. “De AVG is nieuw voor iedereen en organisaties werken zich een slag in de rondte om alles op orde te krijgen. Ik ga ervan uit dat er bij overtredingen eerst een waarschuwing wordt gegeven voordat er stevige boetes worden uitgedeeld. Ik verwacht wel dat de AP een voorbeeld zal willen stellen en het is denkbaar dat dit gebeurt bij een in het oog springend bedrijf als HEMA.”
De AVG biedt landen op een aantal punten ruimte om de regels nader te bepalen. Nederland legt de invulling van deze uitzonderingen vast in de Uitvoeringswet AVG. Deze wet is nog niet vastgesteld. “Met al het werk dat is verzet heeft HEMA een stevige basis voor een gestroomlijnde implementatie van nog komende privacywetgeving, zoals de Uitvoeringswet AVG en e-Privacyverordening.” Deze e-Privacyverordening (EPV) zal mogelijk de huidige Nederlandse cookiewet vervangen.
Zelf ziet Linsen de AVG als een absolute noodzaak. “In een steeds verder digitaliserende wereld is het goed dat er meer belang wordt gehecht aan privacybescherming. Het is een voorwaarde voor een duurzame evenwichtige samenleving.”
Cultuurverandering
Ook Vebego International is ruim twee jaar geleden begonnen zich op de nieuwe regels voor te bereiden. Met ruim 35.000 medewerkers is dit internationaal opererende familiebedrijf actief in facility services, publieke sector en gezondheidszorg. Vebego bestaat uit meer dan 100 bedrijven in Nederland, België, Duitsland en Zwitserland.
Volgens general counsel Danielle Adams vergt de AVG vooral een cultuurverandering. “Zowel intern als extern werd de urgentie van goede privacybescherming nog niet gevoeld. We merkten dat vooral degenen met wie Vebego samenwerkt niet zoveel belang hechtten aan privacybescherming. We hebben ons er eerst op gericht onze medewerkers bewuster te maken van deze materie. Ik ben met alle bedrijfsdirecteuren in gesprek gegaan en heb presentaties gegeven aan alle afdelingen van al onze bedrijven. Daarin gaf ik met praktijkvoorbeelden aan wat er kan gebeuren wanneer onzorgvuldig wordt omgegaan met persoonsgegevens. We merkten al snel dat medewerkers elkaar op het belang van zorgvuldige privacybescherming gingen aanspreken.”
Vervolgens zijn er vijftien privacy-officers aangesteld, die met regelmaat bijeenkomen, en is nieuw beleid geformuleerd, waaronder bewerkersovereenkomsten en een privacystatement. Daarna is er een FG aangesteld. “Ik ben vooral projectmanager. Ik moet ervoor zorgen dat het beleid geïmplementeerd wordt en geïntegreerd in processen. Voor aan de AVG gerelateerde juridische ondersteuning heb ik nauwelijks tijd. Daarvoor heb ik een externe juridische afdeling, een kantoor van bedrijfsjuristen, ingeschakeld met wie ik al vaker samenwerkte.”
Na de zomer heeft Vebego een quick scan laten uitvoeren door zijn accountant. “Hiermee konden we toetsen hoe ons projectplan extern werd beoordeeld en wilden we intern laten zien hoe we in de toekomst zullen worden ge-audit. Op basis van de uitkomsten is een actieplan gemaakt waarmee we weer aan de slag zijn gegaan. Zo wordt er nu aan gewerkt enkele IT-applicaties de juiste functionaliteit te geven.”
Ze benadrukt dat ze het doel van de nieuwe privacyverordening onderschrijft. “Maar van de bureaucratie waartoe de AVG leidt word ik niet vrolijk. Dit heeft ook te maken met de wijze waarop Vebego is georganiseerd. Qua omvang en omzet zijn we een multinational, maar eigenlijk zijn we een verzameling van ruim honderd bedrijven die werkzaam zijn in verschillende sectoren. De cultuurverschillen zijn groot en dat maakt implementatie extra lastig. Elk dochterbedrijf vergt maatwerk. Eigenlijk heb ik zo heel veel bedrijven geadviseerd over privacy.”
NGB: Privacy-experts aan tafel
“Elk bedrijf moet aan de nieuwe eisen voldoen, dus daar ligt een taak voor de bedrijfsjurist. En dat is een flinke dobber”, aldus NGB-voorzitter Arnold Brakel. “Daarom steken wij als beroepsvereniging de leden daarbij een helpende hand toe.”
Deze helpende hand houdt in dat op verschillende manieren aandacht aan de verordening wordt besteed. Zo staat privacy als eerste onderwerp op de agenda van de door het NGB georganiseerde Rondetafeldiners. Tijdens deze avonden discussieert een groep van zo’n twaalf bedrijfsjuristen onder leiding van een moderator over actuele onderwerpen. Dit voorjaar zorgt het NGB dat bij elk van de diners een privacy-expert aanwezig is.
Eerder vond al een aantal informatiebijeenkomsten plaats over de nieuwe AVG. Eind januari organiseerde de NGB-sectie Intellectuele Eigendom bijvoorbeeld de bijeenkomst ‘Nieuwe privacywetgeving: hoe ver ben jij?’. En op 6 september is er de bijeenkomst ‘GDPR/AVG: ruim drie maanden op weg; en nu…?’
Meer informatie: www.ngb.nl
