Mr.

38 / Mr. 3 2018 DE ALGEMENE VERORDENING GEGEVENSBESCHERMING Alle organisaties, groot en klein, maar ook zzp’ers moe- ten aan de AVG voldoen. Met de AVG worden privacy- rechten van personen verbeterd en uitgebreid. Mensen krijgen meer mogelijkheden voor zichzelf op te komen bij de verwerking van hun gegevens. Zo kunnen ze ei- sen dat een organisatie de verwijdering van hun gege- vens doorgeeft aan andere organisaties die ze van deze organisatie hebben gekregen. De AVG legt meer nadruk op de verantwoordelijkheid van organisaties. Zij kunnen onder meer verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, waarna maatregelen kunnen worden genomen om die risico’s te verkleinen. De AVG vervangt niet alleen de Wet bescherming per- soonsgegevens, die was gebaseerd op de Europese priva- cyrichtlijn uit 1995, maar ook de in januari 2016 in wer- king getreden Wet meldplicht datalekken. Nieuw is onder meer dat de toezichthouder alleen geïnformeerd hoeft te worden als er daadwerkelijk een lek is geweest, niet al bij een vermoeden. Naast de AVG is er een aparte richtlijn voor de gegevens- bescherming bij politie en justitie. aan dat mensen steeds meer willen weten en daartoe ook de mogelijkheden hebben. Organisaties zijn steeds meer glazen huizen en worden door iedereen bekeken. Dit heeft gevolgen voor de rol van de bedrijfsjurist, die steeds meer ook reputatiemanager wordt.” GROTE KLUIF Ayche Linsen, senior legal counsel bij HEMA, vertelt over de ‘AVG-aanpak’ van haar werkgever. “Het thema privacy is bij ons opgedragen aan de afdelingen Audit & risk en Le- gal, en ook de ICT-manager is er nauw bij betrokken. In de afgelopen twee jaar, en ook ervoor al, is er heel veel werk verzet.” Ook onder de Wbp gold al een informatieplicht, maar de AVG werkt dit concreter uit en stelt eisen aan de transparantie van de verwerking en communicatie naar betrokkenen. Bestaande en nieuwe klanten moeten duide- lijk geïnformeerd worden over wat er met hun persoonsge- gevens gebeurt. Dit kan in een online privacyverklaring. “Toen ik in 2016 bij HEMA begon heb ik me meteen gericht op het loyaltyprogramma, dat koopgedrag van klanten be- loont en bevordert, en de privacyverklaring. Om te voldoen aan de eisen van de AVG moesten dit loyaltyprogramma en privacysta-tement meer op elkaar worden afgestemd. Ook hebben we een datalek-responsteam geformeerd.” Veel organisaties zijn verplicht een register van verwer- kingsactiviteiten bij te houden. Dit geldt onder andere voor or- ganisaties met meer dan 250 medewerkers, zoals HEMA. De AVG schrijft voor welke infor- matie een ‘verwerkingsverant- woordelijke’ en de ‘verwerker’ die in diens opdracht informa- tie verwerkt in dit register moe- ten geven. Zo moeten verwer- kingsverantwoordelijken informeren over doel van de opslag, bewaartermijn en be- veiligingsmaatregelen. Linsen: “Met dit register ben ik al heel vroeg begonnen. We hebben een interne scan uitge- voerd waarbij we iedereen hebben gevraagd nog eens goed te kijken naar alle overeenkomsten die met leveran- ciers en ketenpartners zijn gesloten. Op basis daarvan hebben we het register opgesteld. Ook onze eigen verwer- kingen moeten we daarin opnemen.” Ommedewerkers voor te lichten over het nieuwe privacy- beleid startte HEMA een awareness -programma, waarbij workshops zijn gegeven aan verschillende afdelingen. “Dat was een grote kluif”, zegt Linsen. “We zien nu dui- delijk dat medewerkers zich bewuster zijn van de nood- zaak van de nieuwe privacyregels. Ook nieuwe collega’s zullen worden voorgelicht. Het privacybeleid is een proces dat permanent onderhoud en alertheid vergt.” In februari heeft HEMA een externe organisatie laten be- oordelen hoe ‘AVG-compliant’ het bedrijf nu is. “Hiermee hebben we nog meer inzicht gekregen in wat er nog moet gebeuren. Dat werk gaan we uitbesteden. We hebben zo- wel grote accountants- en auditbedrijven als zzp’ers en ad- vocaten met veel kennis over privacy benaderd en zullen daaruit een partij kiezen die dit kan uitvoeren op een ma- nier die het beste bij HEMA past. Ik hoop dat ze snel aan de slag gaan.” Linsen verwacht dat er ook op korte termijn een functionaris voor de gegevensbescherming zal worden geworven. “Hij of zij zal het privacy-aanspreekpunt wor- den, maar als bedrijfsjurist zal ik mij ook dan nog steeds intensief met het privacybeleid blijven bezighouden.” Tevreden stelt ze vast dat de AVG uitgaat van de zogeheten ‘onestopshop-regel’: organisaties die grensoverschrijden- de gegevensverwerkingen uitvoeren hoeven maar met één privacytoezichthouder zaken te doen. “Met ons hoofdkan- toor in Nederland is het voor ons prettig dat dit de Autori- teit Persoonsgegevens is. Ik ben opgelucht dat we ons met eventuele kwesties niet ook tot andere Europese toe- Ayche Linsen (HEMA)