Een accountant voor je data
Vanaf mei 2018 moeten bedrijven voldoen aan nieuwe Europese privacyregels; de Algemene verordening gegevensbescherming (Avg). Dat betekent onder andere een harmonisatie van Europese regels, strengere eisen voor het verwerken van gegevens en een grotere boetebevoegdheid voor toezichthouders. Een minder opvallende verandering is dat de Avg veel meer eisen stelt op het gebied van transparantie en accountability. Voor het gemiddelde ICT-bedrijf is dit waarschijnlijk wel de verandering die de meeste impact zal hebben.
De Europese wetgever eist in de Avg dat een bedrijf dat gegevens over iemand verzamelt een bepaalde verantwoordelijkheid op zich neemt en daarover verantwoording kan afleggen. Deze verantwoordingsplicht (accountability) is één van de nieuwe beginselen uit de Avg. Heel simpel gezegd: bedrijven moeten vanaf 25 mei 2018 hun boekhouding op het gebied van persoonsgegevens op orde hebben. En in sommige gevallen moeten ze iemand inhuren om hier toezicht op te houden: een functionaris voor de gegevensbescherming (een FG).
Administratieve lasten
Veel van wat er in de Avg staat, is nu al op de één of andere manier in de Nederlandse wet verankerd. Voor wie zich nu keurig aan de wet houdt, zal er dus fundamenteel niet veel veranderen. Wat wel verandert, is de manier waarop bedrijven hun activiteiten op data-gebied moeten vastleggen. Deze documentatieplicht vraagt om het bijhouden van een register met onder andere de gegevens die verwerkt worden, de gronden voor verwerking en de termijn van bewaring. Ook moet vastgelegd worden aan welke landen en organisaties de gegevens verstrekt worden, of wat voor maatregelen er genomen zijn om de gegevens te beveiligen.
Al met al kan dit oplopen tot een behoorlijke administratieve last. Voor met name mkb-bedrijven is dit iets om rekening mee te houden. De documentatieplicht geldt bovendien ook voor bedrijven die persoonsgegevens namens hun klanten verwerken. Veel ICT-bedrijven zullen in deze categorie vallen.
Verwerkers en verantwoordelijken
Sommige begrippen uit onze huidige privacywetgeving bestaan ook in de Avg, maar dan nét even anders. Dat kan verwarrend zijn, bijvoorbeeld in het geval van de term “verwerker”. Onder de huidige wet spreken we van bewerkers en verantwoordelijken van data. Onder de Avg is de term bewerker vervangen door verwerker en de term verantwoordelijke vervangen door verwerkingsverantwoordelijke.
Met de term verwerkingsverantwoordelijke wordt een bedrijf bedoeld dat het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Een ziekenhuis is bijvoorbeeld de verwerkingsverantwoordelijke voor medische dossiers. Een grote dienstverlener is de verantwoordelijke voor gegevens van haar personeel. De verwerker is het bedrijf dat de daadwerkelijke verwerking van de gegevens verzorgt. Bijvoorbeeld het bedrijf dat een SaaS-oplossing levert om de database met medische dossiers te beheren, of het HRM-pakket voor personeelsgegevens.
Voor ICT-bedrijven, die verwerker van persoonsgegevens zijn, geldt dus ook een documentatieplicht. Dat betekent dat de klant, als verantwoordelijke voor de data, zijn administratie op orde moet hebben. Verwerkingsverantwoordelijken en verwerkers moeten onder andere over de werkwijze, soorten gegevens, beveiliging en geheimhouding afspraken maken in een bewerkersovereenkomst.
Toezicht
De verwerkingsverantwoordelijke en de verwerker moeten overigens ook nu al afspraken maken met elkaar in het kader van de meldplicht datalekken. In Nederland geldt deze meldplicht sinds 1 januari 2016. Nederland nam hiermee een voorschot op de Avg, waarin de meldplicht ook is opgenomen. Een meevaller voor Nederlandse bedrijven, want ten opzichte van de Europese collega’s hebben ze dat deel van de administratie al op orde.
De meldplicht datalekken illustreert de nieuwe manier van werken onder de Avg. Verwerking van data hoeft vanaf volgend jaar niet meer gemeld te worden bij toezichthouder Autoriteit Persoonsgegevens (AP) – zoals nu wel het geval is. De enige meldplicht die overblijft is in het geval van een datalek. In dat opzicht scheelt de Avg bedrijven dus werk.
Daar staat tegenover dat de toezichthouder verwacht dat bedrijven te allen tijde hun administratie op orde hebben. De AP kan naar aanleiding van een datalek een onderzoek starten naar de wijze waarop met persoonsgegevens omgegaan wordt. Wie dan zijn accountability niet op orde heeft loopt extra risico op een boete. Maar ook als er geen sprake is van een datalek kan de AP aankloppen om de databoekhouding te controleren.
Functionaris voor de gegevensbescherming
In sommige gevallen zijn bedrijven onder de Avg verplicht om zelf iemand in te huren die toeziet op de verwerking van persoonsgegevens: de functionaris voor de gegevensbescherming. Het aanstellen van een FG is straks verplicht voor de overheid en voor bedrijven die op grote schaal bijzondere persoonsgegevens verwerken, of die doen aan ‘stelselmatige observatie van betrokkenen’. Denk aan een leverancier van een SaaS-oplossing voor ziekteverzuim, een bedrijf dat aan behavioral targeting doet of een aanbieder van ‘smart devices’.
Uit een inventarisatie van Nederland ICT blijkt dat 40% van de ICT-bedrijven waarschijnlijk een FG nodig zal hebben. Dat betekent dat ze iemand binnen het eigen bedrijf tot FG moeten benoemen, of een externe FG moeten inhuren. In beide gevallen geldt dat er geen sprake mag zijn van conflicterende belangen, bijvoorbeeld als de FG ook hoofd marketing is.
De FG moet zijn of haar taken volledig onafhankelijk kunnen uitvoeren. Die taken bestaan uit het bevorderen van privacy-bewustzijn binnen de organisatie, toezien op naleving van privacy-wetgeving, meedenken over de verwerking van persoonsgegevens en fungeren als aanspreekpunt en sparringpartner voor de AP. Dat vraagt om iemand met grote deskundigheid op het gebied van gegevensbescherming, zowel qua wetgeving als de praktijk. Zo zal een FG ook voldoende verstand van ICT moeten hebben om de beveiliging van gegevens te kunnen beoordelen. Een FG is daarmee een beetje te vergelijken met een accountant. Hij houdt wettelijk gereguleerd toezicht, maar is niet zelf degene die de privacy-boekhouding inricht en uitwerkt.
Werk aan de winkel
Voor bedrijven die zich tot nu toe niet in de Avg verdiept hebben, is er werk aan de winkel. Ook al voldoe je nu keurig aan de wet, de aanvullende accountability-eisen kunnen een aanzienlijke investering van tijd en personeel vragen. Op de website van Nederland ICT vind je uitgebreide uitleg over accountability, transparantie, de FG en andere sleutelbegrippen uit de FG. Daarnaast biedt Nederland ICT handige tools en modellen die ICT-bedrijven helpen hun activiteiten te inventariseren en te ordenen. Tot slot werken we aan een nieuwe vorm van dienstverlening voor bedrijven die een FG nodig hebben.
Door: Sylvia Huydecoper
