.
Nog 500 dagen !!
2017 wordt vooral het jaar van de voorbereiding op de komst van de
Algemene Verordening Gegevensbescherming (AVG). De AVG, ook wel bij zijn Engelse naam GDPR genoemd, is afgelopen jaar van kracht geworden en de overgangstermijn loopt af op 25 mei 2018. Was je nog niet begonnen met het invoeren van de AVG in je organisatie, dan wordt het nu toch wel hoog tijd. Je organisatie heeft nog ongeveer 500 dagen om compliant te worden.
Dat lijkt veel, maar het is voorbij voordat je het weet.
Aan de slag dus!
Regel een budget !
Begin niet met het lukraak implementeren van de AVG. Volg een vooraf vastgesteld plan en beschouw het als een project van meer dan 1 jaar. Dat begint met het regelen van een budget. Heeft jouw organisatie een budgetcyclus van een kalenderjaar, dan ben je eigenlijk nu al te laat. Dan wordt het in 2017 alleen pleisters plakken en verschuift de bulk van je AVG-complianceproject waarschijnlijk naar 2018. Dan wordt het wel heel krap om nog op tijd AVG-compliant te worden. Zorg dan in ieder geval voor een noodbudget om de grootste risico's al in 2017 te kunnen afdekken.
Wees bij het vaststellen van het budget vooral niet te zuinig. Heeft jouw organisatie privacy de afgelopen jaren laten versloffen, dan moet je in 2017 namelijk ook nog eens een inhaalslag maken. Met boetes in het vooruitzicht tot 20 miljoen of 4% van de jaaromzet van de onderneming kan het de moeite waard zijn om in 2017 flink in privacy te investeren. Uiteraard hoort daar ook nog een jaarlijks (onderhouds)budget bij.
Waar beginnen?
Er zijn verschillende scenario's om AVG-compliance aan te vliegen.
Startscenario 1: DPO benoemen
Sommige organisaties gaan nu hard op zoek naar een Data Protection Officer (DPO), in het Nederlands: Functionaris voor de Gegevensbescherming (FG). Ooit ben ik bij Philips op die manier begonnen toen de Wbp werd ingevoerd; weggekaapt bij wat nu de Autoriteit Persoonsgegevens (AP) is. Maar bedenk wel: gekwalificeerde DPO's zijn uiterst schaars. En dus niet goedkoop. Aan de andere kant bieden steeds meer nieuwkomers zich nu aan als DPO, soms met DPO-certificaat en al (voor wat dat waard is).
Maar het privacyvak vereist een hoop competenties in één DPO. Grondige wetskennis in relatie tot de bedrijfsvoering/sector is één. Toezichts-, advies- en communicatievaardigheden is twee. En idealiter ook enig gevoel voor een of meer van de volgende vakgebieden: marktstrategie, sectorkennis, privacy-by-design, informatiebeveiliging, kennis van de door de organisatie gebruikte technologie en risicomanagement. En de DPO
moet ook nog eens de persoonlijkheid hebben om als het nodig is met gezag met zijn/haar vuist op tafel te kunnen slaan.
Nog daargelaten dat een goede DPO een boel meters moet hebben gemaakt voordat hij/zij dit vakgebied een beetje in de vingers heeft en dat de DPO slechts voor een beperkt aantal organisaties verplicht is (zie art. 37 AVG), schuilt in zo'n overhaaste benoeming ook het gevaar dat compliance met de AVG door de organisatie primair als het probleem van de DPO wordt gezien (quod non). De DPO is weliswaar een belangrijke drijvende kracht achter de handhaving van het privacybeleid van de organisatie, maar linksom of rechtsom blijft AVG-compliance in eerste instantie het probleem van de directie. Voor je het weet wordt de DPO of FG dus een vorm van window dressing en als het niet goed gaat waarschijnlijk ook de Kop van Jut. Wellicht dat het (lukraak) benoemen van een DPO dus niet de meest aangewezen manier is om een begin te maken met AVG-compliance....
Dit neemt overigens niet weg dat het voorhanden hebben van een DPO, intern of extern, een grote toegevoegde waarde kan hebben voor het waarborgen van AVG-compliance.
Startscenario 2: Risico's inventariseren
Een andere aanpak voor het aanvliegen van AVG-compliance is die van de risico-inventarisatie. De risk-based approach die in de AVG zit, gaat uit van de risico's voor de betrokkenen, zoals klanten, werknemers, burgers, patiënten en dergelijke (privacyrisico's). Voor die aanpak zal je echter eerst moeten inventariseren welke persoonsgegevens je eigenlijk in huis hebt en in welke processen (lees: voor welke doelen) ze worden gebruikt. En om dat goed uit te voeren, moet je eigenlijk eerst alle persoonsgegevens in je organisatie in kaart brengen (data mapping). Dat is weer wat teveel gevraagd, zeker als je nog maar 500 dagen de tijd hebt om compliant worden.
Je zal dus vooraf al een beperking willen aanbrengen in je risico-inventarisatie en focussen op de belangrijkste risico's. De vraag is dan welke criteria je daarvoor wilt gebruiken; met andere woorden, wélke risico's wil je eigenlijk in eerste instantie gaan afdekken?
Sommige organisaties willen geen risico's lopen in hun business-kritische systemen. Dat kán een hele goede benadering zijn; je weet dan dat áls de AP langskomt, niet gelijk je hele bedrijf stilligt (business continuity risico).
Andere organisaties willen naar de betrokkenen of hun vertegenwoordigers uitstralen dat het bij hen qua privacy wel goed zit. Zij willen dus als eerste aan de slag met hun belangrijkste klanten- en/of HR-processen. Bijkomend voordeel is dat hoe eerder die processen compliant zijn met de AVG, hoe kleiner de kans dat over die processen wordt geklaagd (brand damage risico). Voor overheidsorganisaties vertaalt zich dit in politieke risico's.
Een - vooralsnog - kleine groep organisaties vliegt de AVG top-down aan. Zij willen eerst het privacymanagementkader neerzetten om van daaruit de AVG-compliance in hun processen op een volwassen manier te beheersen. Op zich niet zo gek gedacht als je bedenkt dat de AVG van organisaties eist dat ze "aantoonbaar" compliant zijn met de wet (art. 24 AVG). Dat vereist een relatief hoog maturity-niveau in privacycompliancemanagement (
minstens 'defined', liefst 'managed'). Deze organisaties verkleinen daarmee de kans dat ze tegen een boete aanlopen wegens ernstig verwijtbare nalatigheid (
accountability risico).
En dan heb je nog organisaties die niet (als eerste) tegen een boete willen aanlopen of als uitgangspunt hebben om sowieso compliant te zijn. Veelal aangestuurd door de juridische afdeling wordt door die organisaties vaak ingezoomd op de belangrijkste compliance-verplichtingen, al dan niet in relatie tot de speerpunten van het handhavingsbeleid van de AP en jurisprudentie (boete-risico).
Welk criterium (of een combinatie ervan) je ook wilt gebruiken, realiseer je dat 100% compliance niet bestaat.... zeker niet in het privacyrecht. Bovendien is een heleboel nog onduidelijk, omdat de interpretatie van de AVG van de gezamenlijke Europese toezichthouders nog niet beschikbaar is. Maak er dus een langetermijnproject van. Wees daarbij helder en duidelijk naar de organisatie en je stakeholders: "Dit doen we in 2017, dat doen we in 2018 en de rest komt wel in 2019/2020".
Jouw AVG-project
Splits je project dus op in behapbare deelprojecten.
Start met wat jouw organisatie belangrijk vindt.
Data Protection Impact Assessments
Sommige bedrijven storten zich halsoverkop op het uitvoeren van Data Protection Impact Assessments (DPIA's, art. 35 AVG). Maar als je dat op alle processen zou doen, weet je twee dingen zeker: het AVG-project gaat binnen de kortste keren over het budget heen én het komt niet vóór 25 mei 2018 af. DPIA's zijn alleen verplicht voor de gegevensverwerkingen die "waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen" vormen. Het is dus helemaal niet nodig om overal een DPIA op te doen (zou ook veel te duur zijn), al kan het - ook vanuit maatschappelijk verantwoord ondernemen - verstandig zijn om de groep van processen waar je DPIA's op uitvoert iets ruimer te nemen dan de AVG voorschrijft.
Privacy Quick Scans
Beter is dus om zogeheten Privacy Quick Scans te doen op je (selectie van) gegevensverwerkingen c.q. bedrijfsprocessen. Zo'n Privacy Quick Scan (PQS) is goedkoop en snel, omdat je inzoomt op de vraag of er sprake is van mogelijke hoge risico's, zonder heel diep op die risico's in te gaan. Door PQS-en uit te voeren, weet je snel op welke processen je wél een DPIA moet uitvoeren (dubbel werk voorkom je door de resultaten van de PQS te gebruiken voor je DPIA). De overige processen hebben waarschijnlijk geen hoge risico's. En dus is dat 'gewoon' compliancewerk dat je eventueel kan uitstellen tot 2018 (of nog later).
Bijkomend voordeel van een PQS is dat je met niet al teveel extra werk ook snel zicht krijgt op de 'red flags' qua AVG-compliance (die moeten sowieso in 2017) en de stand van zaken van het maturity niveau van het privacymanagement in je organisatie.
Data mapping
Maar om zo'n PQS uit te voeren moet je wel met aan zekerheid grenzende waarschijnlijkheid weten welke persoonsgegevens je eigenlijk is huis hebt. Een goede manier om dat te doen is een data mapping exercitie. Daarvoor bestaat tegenwoordig ook software. Je kan dus overwegen om zo'n licentie aan te schaffen. Groot voordeel daarvan is dat je gelijk voldoet aan je artikel 30-verplichting om een register van gegevensverwerkingen bij te houden.
Elementen AVG-project
Een beetje AVG-complianceproject kent dus de volgende elementen:
- Het in kaart brengen van de (belangrijkste) gegevensverwerkingen en het inrichten van het artikel 30-register;
- Het uitvoeren van Privacy Quick Scans op de (geselecteerde) gegevensverwerkingen om de risico's in kaart te brengen;
- Het uitvoeren van Data Protection Impact Assessments op de verwerkingen met 'waarschijnlijk hoge risico's en het volledig documenteren van deze verwerkingen;
- Het implementeren van proces-gerelateerde (aanpassings)maatregelen op het gebied van privacy-by-design/default, informatiebeveiliging, verwerkersovereenkomsten, internationaal gegevensverkeer, privacyverklaringen en bewaartermijnen;
- Het implementeren van beleid en procedures op het gebied van privacymanagement, zoals privacytraining, privacy risk management (PQS/DPIA/audit), inkoop/outsourcing, toegang tot privacyexpertise (aanstelling DPO/FG en/of inhuren externe ondersteuning) en omgang met datalekken.
Veel organisaties zullen deze stappen in de volgorde 1 - 5 uitvoeren. Vooral als zij de AVG-compliance aanvliegen vanuit business continuity risico's, brand damage risico's of boeterisico's.
Zo'n AVG-project zou er dan als volgt uit kunnen zien:
- Q1 2017: Instellen privacy project organisatie. Data mapping en optuigen artikel 30 register.
- Q2/Q3 2017: Uitvoeren Privacy Quick Scans en DPIA's.
- Q3 2017 - Q1 2018: Implementatie procesmaatregelen op hoge-risico systemen en aanpakken 'red flags' privacycompliance. Start van het privacy management programma.
- Q2 2018 - 2020: Compliant maken van lage-risico verwerkingen, verhogen maturity niveau privacymanagement.
- Vanaf 2019: Onderhoud privacycompliance (aanpassen van processen, maatregelen en documenten aan de laatste inzichten en herziening/audit eerder uitgevoerde DPIA's).
Voor organisaties die liever eerst hun privacymanagement op orde willen brengen (accountability risico's), zou de tijdslijn van hun AVG-project er als volgt uit kunnen zien:
Q1 2017: Definiëren van de organisatie-brede privacybeleidskaders en instellen van privacycompliance organisatie.
Q2 2017: Data mapping en inrichten art. 30-register.
Q3 2017: Uitvoeren Privacy Quick Scans en DPIA's.
Q4 2017 - Q1 2018: Implementatie procesmaatregelen op hoge-risico verwerkingen.
Q2 2018 - 2020: Compliant maken van lage-risico verwerkingen en aanpak 'red flags' privacycompliance, verhogen maturity niveau privacymanagement.
Vanaf 2019: Onderhoud privacycompliance (aanpassen van processen, maatregelen en documenten aan de laatste inzichten en herziening/audit eerder uitgevoerde DPIA's).
Hoe eerder je met je project begint, hoe groter de kans dat je op 25 mei 2018 de belangrijkste risico's hebt afgedekt.
En wat brengt 2017 verder nog?
Traditioneel geef ik u in de jaarlijkse Privacy Outlook ook een overzicht van de veranderingen in de wet- en regelgeving die er aan zitten te komen. Bij deze dus.
Uitvoeringswet AVG
Een belangrijke aanvulling op de AVG wordt gevormd door de nationale uitvoeringswetten. Voor Nederland is dat de Uitvoeringswet AVG (UAVG). Het voorstel is in december 2016
in consultatie gegaan en zal naar verwachting in de loop van de eerste helft 2017 naar de Tweede Kamer worden gestuurd.
De UAVG regelt een aantal zaken, waarbij de wetgever uitgaat van een - waar mogelijk - beleidsneutrale invoering van de AVG. Met andere woorden, waar het kan, volgt de UAVG zoveel mogelijk de
Wet bescherming persoonsgegevens (Wbp). Het gaat onder andere om:
De instelling en de bevoegdheden van de Autoriteit Persoonsgegevens.
De Nederlandse invulling van een aantal onderwerpen die de AVG aan de nationale wetgever voorbehoudt, zoals de beperking van het gebruik van het BSN-nummer en de leeftijdsgrens voor toestemming voor gegevens van kinderen (het voorstel in de UAVG is 16 jaar); en
De verwerking van bijzondere gegevens zoals ras/etniciteit en gezondheidsgegevens in specifieke gevallen á la
art. 17 - 22 Wbp.
Voorstel herziening e-Privacy Richtlijn
In december lekte al een
ontwerp van het voorstel uit. Daaruit bleek dat ook deze wet net als de AVG - terecht - een verordening wordt; één en dezelfde wet voor hele Europa dus. Naast de genoemde onderwerpen, die hier en daar worden aangescherpt of verduidelijkt, bevat het ontwerp van de e-Privacy Verordening ook uitbreidingen. Zo gaan ook internetcommunicatiediensten als Skype en WhatsApp onder de werking van de e-Privacy Verordening vallen.
Maar de opmerkelijkste uitbreiding is die artikel 10: het privacy-by-default vereiste gaat ook gelden voor slimme apparaten, zoals smart-TV's en
Internet-of-Things apparaten. De regel komt erop neer dat de Europese Commissie een verbod voorstelt op het 'op de markt brengen' van slimme apparaten die niet aan deze eis voldoen.
Dit en
dit is onder de e-Privacy Verordening dus uit den boze. Deze nieuwe eis raakt primair de elektronicabranche (retail, groothandel, import) en in hun kielzog de - vaak buitenlandse - producenten van de apparatuur. Dat wordt nog een fikse kluif voor de douane en de NWVA !
Eerste boetes?
Bij zijn aantreden zei de nieuwe voorzitter van de AP, Aleid Wolfsen, dat
de boetes er aan zitten te komen. Bij de AP zijn in 2016 een kleine 5500 meldingen van een datalek binnengekomen. Daarvan zijn een aantal door de AP in onderzoek genomen. En daarvan zullen waarschijnlijk weer een aantal in aanmerking komen voor een boete.
Omdat de AP in haar boetebeleidsregels werkt met boetecategorieën voor het niet nakomen van de beveiligingsverplichting (categorie II: minimaal 150.000 euro, maximaal 500.000 euro), waarbij sprake kan zijn van zowel boeteverhogende als boeteverlagende omstandigheden, is het dus nog even afwachten wat de gemiddelde hoogte zal zijn van een boete voor een datalek.
Maar daarnaast kan de AP natuurlijk ook een boete uitdelen voor andere overtredingen van de Wbp. Het maximum is ook in 2017 nog 820.000 euro (of 10% van de jaaromzet van de rechtspersoon als 820.000 euro niet passend zou zijn).
Kortom, ook 2017 wordt weer een spannend privacyjaar!