Per 25 mei 2018 is de General Data Protection Regulation (GDPR) of zoals we het in Nederland noemen, de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Heel eerlijk was ik wel een beetje klaar met alle publicaties over dit onderwerp. Zeker nu ik zelf sinds een jaar lid ben van de DDMA Privacy Autoriteit. Maar omdat ik altijd met veel plezier luister naar De Technoloog, de podcast van BNR waarin Herbert Blankesteijn en Ben van der Burg in gesprek gaan met spraakmakende experts over technologische ontwikkelingen en de impact op onze samenleving, heb ik nog één uitzondering gemaakt. Afgelopen week heb ik (bijna) alle afleveringen van de Grote Data Podcast Roadshow geluisterd, de podcast waarin Ben van der Burg net iets verder gaat dan wat ik al had gelezen of gehoord over de nieuwe Europese privacywet. Vooral het laatste interview met Bart Jacobs, hoogleraar digitale veiligheid aan de Radboud Universiteit, is een aanrader!
Materieel verandert er overigens weinig met de nieuwe Europese privacywetgeving, procesmatig wel. Handhaving zal strikter zijn en organisaties zullen beter en meer dan voorheen moeten zorgen dat ze hun privacyzaken op orde hebben. Je mag als organisatie nog steeds geen persoonsgegevens verwerken, tenzij je voldoet aan één van de zes grondslagen (toestemming van de betrokken, noodzakelijk voor de uitvoering van een overeenkomst, voor het nakomen van een wettelijke verplichting, ter bescherming van de vitale belangen, voor de vervulling van een taak van algemeen belang of of voor de behartiging van de gerechtvaardigde belangen).
Eigenlijk is het simpel, organisaties moeten bij alle verwerkingen van persoonsgegevens aangeven op basis van welke grondslag ze te dat doen en met welk doel (doelbinding). Zonder in te gaan op de details betekent het dat organisaties alles rondom verwerking persoonsgegevens beter moeten vastleggen en borgen (als ze dat al niet deden).
Bart Jacobs maakt in zijn interview een mooie vergelijking met hoe medewerkers in organisaties nu omgaan met geld. Iedereen weet dat je niet zomaar geld kunt uitgeven zonder dat je dat hebt onderbouwd en afgestemd met een controller. Zo moet de AVG of GDPR ervoor zorgen dat je een vergelijkbare mentaliteit krijgt mbt het omgaan met persoonsgegevens.
Jacobs heeft nog meer interessante uitspraken die de moeite waard zijn om eens terug te luisteren. Zo weet hij te vertellen dat bij Google op dit moment honderden mensen bezig zijn met GDPR en dat Google straks ook klaar zal zijn voor de GDPR. Jacobs spreekt van het ‘Brussels-effect’. Als je wereldwijd wilt opereren, dan wil je voldoen aan de strengste normen en op het gebied van privacy is dat de Europese privacywetgeving. Het is dan ook nog maar de vraag of de GDPR innovaties in Europa afremt, of dat het op de lange termijn juist een voordeel is dat wij in Europa nu al op een andere manier aankijken tegen privacy.
Kortom, luisteren!
- waarom? (Sophie in ’t Veld, D66-Europarlementair)
- Hoe? (Paul Bessems, mede-auteur van het boek ‘Blockchain Organiseren voor Managers’ en Sergej Katus, partner bij Privacy Management Partners)
- De waakhond (Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens)
- Wat is privacy eigenlijk? (Merel Koning, onderzoeker de Radboud Universiteit en Frank Meester, filosoof)
- Security (Jaap-Henk Hoepman, directeur van het Privacy & Identity Lab en Simon Hania, corporate privacy officer bij TomTom)
- Marketing (Daan Loohuis, senior digital strategist bij marketing bureau Adwise en Matthias de Bruyne, Legal Counsel bij branche-organisatie DDMA)
- Big Data (Koos Wolters, partner bij KPMG en Mireille Hildebrand, jurist en filosoof)
- Nog meer big data (David Korteweg, Bits of Freedom en Koos Wolters, partner bij KPMG)
- Internet of Things (Wienke Giezeman, mede-oprichter van The Things Network en David Korteweg, Bits of Freedom)
- Het woord is aan de goeroe (Bart Jacobs, hoogleraar digitale veiligheid aan de Radboud Universiteit)