AVG: vind de weg in het woud van de ingewikkelde regels rond gegevensbescherming

Marcy Darsey, Directeur Bedrijfsadvies, Lifesize<br
Datum: 15 februari 2018

Hallo iedereen en welkom bij Lifesize Live!, de live webshow die exclusief wordt geproduceerd door het Lifesize-platform.

Ik ben uw gastheer, Julian Fields, en mijn gast vandaag is Marcy Darsey, juridisch adviseur hier bij Lifesize. Vandaag hebben we het over de AVG.

Ja. Iedereens favoriete onderwerp tegenwoordig.

Ja, en wij weten natuurlijk wel wat de AVG is. Maar kun je ons voor de duidelijkheid wat achtergrondinformatie geven, zodat iedereen ook weet wat het is? Bijvoorbeeld waar het voor staat en wat het eigenlijk inhoudt, etc.

Julian, ten eerste heel erg bedankt dat ik hier mag zijn op Lifesize Live! Het is hartstikke spannend om de studio te zien en om bij te dragen aan deze webcast van Lifesize. Maar voordat we beginnen of te diep ingaan op de AVG: omdat ik advocaat ben, wil ik eerst duidelijk maken dat niks wat ik de komende 10 minuten zeg juridisch advies is.

Oké.

Dus als je echt nieuwsgierig bent naar dit onderwerp of specifieke vragen hebt over de AVG of andere regelgeving of wetten, dan kun je het beste een bevoegde juridisch deskundige raadplegen. Maar om op je vraag terug te komen: wat is de AVG en waar staat het voor? AVG staat voor Algemene verordening gegevensbescherming en is een nieuwe wet die is aangenomen door de Europese Commissie. Het gaat over gegevensbescherming en privacy voor alle inwoners van de Europese Unie.

Oké. Ik weet dat we daar bij marketing altijd al mee te maken hebben gehad, bijvoorbeeld dat we mensen die zich daarvoor niet aanmelden geen e-mails mogen sturen.

Ja. Er waren eigenlijk al ruim 20 jaar Europese wetten over gegevensbescherming en privacy, maar de AVG is sinds twee jaar van kracht. We zitten nu in de implementatieperiode, maar op 25 mei wordt de wet officieel van kracht. De nationale toezichthouders zullen dan officieel reageren op gevallen van niet-naleving, en een bedrijf dat zich niet aan de AVG houdt, riskeert een boete. En die boetes zijn best fors.

Oké, geen klein tikje op de vingers, dus.

Nee, geen tik op de vingers. De boete kan oplopen tot wel 20 miljoen euro, een aanzienlijk bedrag.

Met de huidige wisselkoers is dat meer dan 20 miljoen dollar.

Het is een hoog bedrag. Bedrijven betalen maximaal 20 miljoen dollar of tot 4 procent van hun wereldwijde jaaromzet als dat bedrag hoger is. Dat is dus de omzet van hun wereldwijde activiteiten, niet alleen in Europa.

Dus hoe groter je bent, hoe hoger de boete.

Ja, het zijn flinke boetes, en dat komt omdat de Europese Unie erkent dat alle personen een fundamenteel recht op privacy hebben. Als je nadenkt over de wereld van vandaag, met alle technologische vooruitgangen van de afgelopen decennia, zie je dat de identiteit en persoonlijke gegevens van mensen op veel platformen worden gedeeld en dat er veel bedrijven profiteren van het verzamelen van gegevens van personen.

Ja, het lijkt alsof bijna elke applicatie die ik heb ten minste mijn naam weet, en een wachtwoord, telefoonnummers, adres, zulk soort dingen.

Precies. Denk eens aan alle bedrijven waar je online mee in aanraking komt en hoeveel persoonlijke informatie die bedrijven over jou hebben.

Mijn creditcard is tot daaraan toe, maar mijn persoonsgegevens zijn toch heel persoonlijk...

Ja. Je identiteit, je gegevens, wie je bent, je naam: dat zijn privégegevens. En als je die gegevens met een bedrijf deelt, dan is dat bedrijf verplicht om transparent te zijn over hoe ze die gegevens verzamelen en gebruiken. Ze zijn ook verplicht om de juiste technische en operationele voorzorgsmaatregelen te treffen om je persoonlijke gegevens te beschermen, zodat ze niet gehackt kunnen worden. En als bedrijven die regels niet naleven, dan volgen er zware sancties, omdat de EU wil dat bedrijven hun verplichtingen serieus nemen.

Ik snap het. Maar wat zijn nu de belangrijkste elementen van de AVG?

Nou ja, als je de AVG in het Engels uitprint, is hij 88 pagina's lang. Het is dus een omvangrijke wet die veel onderwerpen bestrijkt. De AVG bestaat in feite uit 99 verschillende artikelen.

Dat komt goed uit, want vanaf vandaag duurt het nog 99 dagen voordat we compliant moeten zijn. Eén artikel per dag, dat moet kunnen.

Dat moet iedereen kunnen. 99 is vandaag dus het magische nummer, want het duurt nog 99 dagen voordat de AVG daadwerkelijk gehandhaafd wordt. De wet gaat over een heleboel dingen, maar een van de belangrijkste onderwerpen heb ik al genoemd: transparantie. Personen hebben het recht om te weten welke gegevens er over hen worden verzameld, wat bedrijven doen met die gegevens en of ze die doorgeven aan externe verkopers of verwerkers. Transparantie houdt ook in dat je weet op welke manier en waar, in welk land, je gegevens zijn opgeslagen.

Dus bijvoorbeeld de pop-ups die je op websites ziet waarin staat dat er cookies verzameld worden, of zoiets.

Ja, het kunnen banners zijn, dat is een van de manieren om transparant tegenover klanten te zijn. Het is erg belangrijk om adequate informatie te verschaffen in je privacybeleid of privacyverklaring. De meeste bedrijven zijn hun privacyverklaringen voor klanten aan het bijwerken om aan die verplichtingen op het gebied van transparantie te voldoen. Een ander belangrijk principe van de AVG is de verantwoordingsplicht. De verantwoordingsplicht houdt in dat bedrijven aan hun klanten moeten kunnen aantonen dat ze de regelgeving naleven, en om dit te kunnen doen moeten ze hun beleid en procedures documenteren. Ook moeten ze hun gegevensverwerkingsactiviteiten documenteren. Bedrijven moeten op papier bijhouden wat ze aan het doen zijn.

Het is dus niet goed genoeg om alleen te zeggen: "Ja, ik verklaar dat ik de AVG naleef."

Nee, het is niet goed genoeg om te zeggen: "Geloof ons nou maar, wij zijn compliant." Je moet daadwerkelijk over documentatie beschikken die aantoont dat je aan de eisen van de wet voldoet. Een derde belangrijk principe van de AVG is wat we het privacy by design-concept noemen. Dat betekent dat wanneer bedrijven producten ontwikkelen waarbij de persoonlijke gegevens van mensen verzameld, verwerkt of opgeslagen worden –

Zoals die apps waar ik het over had.

Precies, ja. Als je dus een bedrijf bent en je ontwikkelt apps die persoonlijke gegevens verzamelen, moet je al tijdens de productontwikkeling privacy-by-design toepassen.

Dus niet achteraf.

Juist. Dat betekent dus dat terwijl je de architectuur voor je oplossing of dienst ontwikkelt, je ook altijd rekening moet houden met de privacy en beveiliging. Al bij het begin van de ontwikkeling schenk je aandacht aan de privacy en hoe dat in het product ingebouwd wordt. Het is niet iets dat je achteraf even doet, zoals je net al zei.

"We versleutelen alles achteraf wel even" – zo moet het dus niet.

Zo kom je er niet: je moet gedurende de hele productontwikkelingscyclus rekening houden met de privacy. En nogmaals, met het oog op de verantwoordingsplicht moet je die inspanningen documenteren.

Ik snap het. Als dat dus de belangrijkste principes zijn, kun je dan misschien even samenvatten waar bedrijven echt op moeten letten? Waar moeten ze als eerste aan werken?

Als eerste moeten bedrijven hun gegevens analyseren en begrijpen over wat voor soort gegevens zij beschikken. Bedrijven moeten goed kijken welke gegevens ze van hun klanten hebben, en een goed inzicht in deze gegevens en de gegevensstroom krijgen. Dit wordt soms een datamap of data-inventarisatie genoemd. Daarna bekijken ze voor elke stap, van verzameling tot verwerking tot opslag tot verwijdering of behoud, of ze aan bepaalde verplichtingen moeten voldoen om volledig compliant te zijn. De eerste stap is dus een data-analyse of datamap. De tweede stap is dan het ontwikkelen van passende technische en operationele maatregelen om ervoor te zorgen dat alle persoonlijke gegevens in die datamap beschermd zijn.

Oké. Ik zag net dat er een vraag binnen is gekomen, als je het niet erg vindt om die te beantwoorden. Het heeft te maken met de verplichtingen rond de functionaris voor gegevensbescherming. Moeten bedrijven die hebben?

Dat hangt ervan af. Het is niet verplicht voor elk bedrijf, maar het hangt af van het soort gegevens dat je verwerkt. Als je veel gevoelige informatie verwerkt, dan moet je waarschijnlijk een functionaris voor gegevensbescherming hebben. En als je voortdurend toezicht houdt, via een CCTV-systeem bijvoorbeeld waarmee je mensen voortdurend in de gaten houdt, dan ben je verplicht om een functionaris voor gegevensbescherming in dienst hebben. Een typisch juridisch antwoord, maar het hangt er dus vanaf. En dat is iets om goed te onthouden omtrent deze wet: hij is niet universeel toepasbaar. Elk bedrijf moet zijn eigen programma ontwikkelen om ervoor te zorgen dat ze compliant zijn. En dat hangt af van het soort gegevens en hun gegevensverwerkingsactiviteiten. Er is dus geen simpele oplossing die voor elk bedrijf werkt. Het moet allemaal op maat gemaakt en zorgvuldig overwogen worden.

Juist. Heel erg bedankt, Marcy. Ik denk dat de tijd nu op is, maar er zijn net nog wat vragen binnengekomen. Kunnen we dit gesprek als je het niet erg vindt misschien in een blogbericht voortzetten?

Uiteraard. Er valt veel te zeggen over dit onderwerp, en ik wil iedereen heel erg bedanken voor het kijken. En jij bedankt voor de uitnodiging.

Ja, natuurlijk. We zien je graag snel terug. Iedereen bedankt voor het kijken. En tot volgende week. Dag.