Mr.

Mr. 3 2018 / 37 Bedrijfsjuristen hebben hun handen vol aan de Algemene Verordening Gegevensbescherming. Vanaf 25 mei moeten organisaties die persoonsgegevens verzamelen en verwerken aan strengere privacyregels voldoen. Zij hebben zich daar twee jaar op kunnen voorbereiden. Zijn ze er klaar voor? KLAAR VOOR DE AVG? DOOR ALIEKE BRUINS V anaf 25 mei 2018 is de Algemene verordening gege- vensbescherming (AVG) van kracht, die op 25 mei 2016 is afgekondigd (zie kader op pagina 37). In de hele Europese Unie geldt dan dezelfde privacywetgeving. De nieuwe verordening vervangt de Wet bescherming per- soonsgegevens en de Wet meldplicht datalekken. De AVG − ook wel bekend als General Data Protection Regulation (GDPR) − zorgt voor versterking en uitbreiding van privacyrech- ten, meer verplichtingen en verantwoordelijkheden voor betreffende organisaties en geeft alle Europese privacytoe- zichthouders dezelfde bevoegdheden. Zo kunnen ze bij overtredingen boetes opleggen tot twintig miljoen euro of vier procent van de wereldwijde omzet. Het onvoldoende beveiligen van persoonsgegevens of niet tijdig melden van een ernstig datalek kan zelfs leiden tot persoonlijke aansprakelijkheid van bestuurders. In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op naleving. CREATIEF Organisaties hebben twee jaar de tijd gekregen om hun systemen, processen en interne organisatie af te stem- men op de nieuwe privacyregels. Toezichthouders en pri- vacy-experts adviseerden hier tijdig mee te beginnen en zo snel mogelijk de benodigde kennis in huis te hebben. Veel organisaties zijn hier nog druk mee bezig. Gewaar- schuwd is voor het toenemende tekort aan specialisten, zoals privacy counsels, compliance officers en functiona- rissen voor de gegevensbescherming (FG). Voor publieke instanties is een FG verplicht, en ook grote instellingen die persoonsgegevens verwerken en kleinere die zich met bijzondere persoonsgegevens bezighouden moeten een FG aanstellen. Deze moet de organisatie adviseren en infor- meren over wettelijke plichten, toezien op naleving ervan en samenwerken met de toezichthouder. “Wie dit kort voor mei 2018 nog denkt te regelen, is te laat”, meldde Thomas van Vliet, recruitment consultant Legal bij Ro- bert Walters, afgelopen zomer in Mr. Nu zegt hij: “Bedrij- ven proberen op verschillende manieren specialistische kennis in huis te halen. Ze schakelen een advocatenkan- toor in, laten zich ondersteunen door consultants of hu- ren een legal professional met privacy-expertise in. Om- dat alles nog nieuw is zijn er bijna geen kandidaten in de markt met precies het geschikte functieprofiel. We zien dat bedrijven creatief zoeken naar een oplossing voor dit probleem. Een positieve ontwikkeling is dat tal van be- drijfsjuristen bezig zijn hun privacykennis te vergroten. Ze volgen cursussen, laten zich omscholen.” REPUTATIEMANAGER De AVG legt de nadruk op de verantwoordelijkheid van or- ganisaties om aan te tonen dat ze zich aan de privacyre- gels houden. Ook moeten ze kunnen laten zien dat ze de juiste organisatorische en technische maatregelen heb- ben genomen om persoonsgegevens te beschermen. Privacy & IT Security is een van de ‘wakkerligpunten’ van de bedrijfsjurist, bleek uit onderzoek van Houthoff onder ruim 200 bedrijfsjuristen in 2017. Tijdens de door Hout- hoff en het Nederlands Genootschap van Bedrijfsjuristen georganiseerde Bedrijfsjuristen Monitor eind maart bleek dat veel bedrijfsjuristen in het kader van de naderende AVG al veel werk hebben verzet en procedureel hun zaken redelijk goed op orde hebben, zegt Tim de Boer, hoofd Marketing bij Houthoff. “Veel ingewikkelder is de IT er- achter. Trendonderzoeker en foresight expert Andrea Wieg- man, een van de sprekers op ons event, wees er dan ook op dat zelfs bij goede bescherming persoonsgegevens toch kunnen worden gehackt.” Om ervoor te zorgen dat orga- nisaties minder kwetsbaar zijn zouden juristen meer moeten leren over IT, beveiliging en misschien zelfs met ethische hackers moeten meekijken, schrijft Wiegman in de Bedrijfsjuristen Monitor jubileumuitgave. Samenwer- ken met IT- en cybersecurity-experts, met de communica- tieafdeling en bestuurders wordt voor bedrijfsjuristen steeds belangrijker. Ook zouden ze zelf relevante IT-ken- nis moeten hebben. De Boer: “Wiegmans visie sluit mooi aan bij die van Farid Tabarki, schrijver en oprichter van Studio Zeitgeist. Hij wees erop dat er enerzijds een roep is om betere bescherming van persoonsgegevens, terwijl anderzijds sprake is van radicale transparantie. In het ka- der van zijn presentatie over governance en ethiek gaf hij BEDRIJFSJURISTEN

RkJQdWJsaXNoZXIy ODY1MjQ=