nieuws

Naderende AVG maakt adviseurs onrustig: ‘We moeten ook nog gewoon werken’

Branche 8529

Naderende AVG maakt adviseurs onrustig: ‘We moeten ook nog gewoon werken’

De Algemene Verordening Gegevensbescherming heeft heel wat voeten in de aarde. En adviseurs willen er mee aan de slag. Maar veel zaken zijn nog niet glashelder. Dat zorgt voor onzekerheid. Adfiz probeerde gisteren in Houten zo’n 80 adviseurs van aangesloten kantoren uit te leggen wat er zal veranderen.

Op 25 mei is het zover. Nog ruim twee maanden dus, en dan moet elke onderneming die persoonsgegevens verwerkt zich houden aan de nieuwe verordening. Ook financiële dienstverleners. Adfiz organiseert door het hele land sessies om ondernemers voor te bereiden en ontwikkelt een aantal tools die adviseurs kunnen gebruiken.

Logboek bijhouden

Beleidsadviseur Ludger de Bruijn (foto) loodste de aanwezigen in Houten gisteren door het woud aan nieuwe regels en terminologie. Zijn boodschap: ‘houd alles wat je doet bij in een logboek, zorg dat verklaarbaar is welke stappen je hebt gezet, laat zien dat je er serieus mee bezig bent’. Nog niet alles rondom de AVG is helemaal helder en ondernemingen weten dus nog niet precies waar ze aan toe zijn. De Bruijn zei daarover: “Wees niet bang, er werken honderd mensen bij de Autoriteit Persoonsgegevens. Die moeten ontelbaar veel ondernemingen controleren. Ze staan echt niet als eerste bij u op de stoep.”

De eerste stap is volgens Adfiz  inventariseren welke persoonsgegevens je verwerkt en met wie je ze deelt. En daarna: bepaal de grondslagen waarom je de gegevens verwerkt en stel jezelf steeds de vraag: móet ik deze gegevens wel bewaren?

Duizenden dossiers

Adviseurs in de zaal vinden dat voor nieuwe klantgegevens nog wel te behappen, maar wat doen we met de oude en bestaande administratie was de vraag uit de zaal. Een adviseur zei: “Je mag het burger service nummer niet opslaan. Moet ik dan duizenden dossiers doorvlooien? Dat is toch een onmogelijke opgave?” De Bruijn wees erop dat het bewaren van het BSN nu ook al niet is toegestaan. Hij had geen panklare oplossing voor het omgaan met oude administraties, maar erkende dat het een hele kluif zal zijn. “Probeer je af te vragen: welke gegevens heb ik en waar heb ik die staan? Het begint met dat besef.” Het leidde tot geroezemoes in het zaaltje. “Er moet ook nog gewerkt worden”, bromde een adviseur tegen zijn buurman.

Dreigende rechtszaak

Moet je ook alle bestaande klanten gaan informeren over je aanpak, was een andere vraag. Nee, zei De Bruijn, dat hoeft niet. “Adfiz heeft een model privacy statement ontwikkeld en die kun je op je website zetten en aan nieuwe klanten verstrekken. Dat is genoeg.” In dat model privacy statement is ook het recht van klanten verankerd om hun gegevens in te zien, te laten wijzigen of zelfs te wissen. De Bruijn: “En daar mag je geen kosten voor in rekening brengen.” Een adviseur uit de zaal vroeg: “Maar wil ik die gegevens wel verwijderen?” Een advies moet immers reproduceerbaar zijn en in geval van claims is het ook wel nuttig als je wat hebt bewaard. Bovendien is er nog zoiets als een wettelijke bewaarplicht. De Bruijn: “Er zijn inderdaad uitzonderingen. Wanneer je als onderneming een gerechtvaardigd belang hebt om de gegevens te bewaren dan mag je ze bewaren. Zo’n belang kan een rechtszaak zijn. Maar al dat soort casuïstiek moet zich nog verder uitkristalliseren.”

Grootschalig

Ondernemingen die zich bezighouden met grootschalige verwerking van persoonsgegevens moeten een zogenoemde FG in huis hebben, een functionaris voor de gegevensbescherming. Deze persoon geniet ontslagbescherming. De Bruijn vertelde dat er door de Kamer om opheldering is gevraagd over het criterium grootschalige verwerking, maar dat wordt verwacht dat een gemiddeld assurantiekantoor er niet snel voor in aanmerking zal komen.

Versleutelen

Anton Klunder van ict-beveiliger IBNN vertelde de adviseurs in de zaal op verzoek van Adfiz wat meer over het beveiligen van data. Persoonsgegevens via de email versturen is volgens hem verleden tijd. Dat is niet te controleren, zei hij. Volgens hem zijn er zat oplossingen om data versleuteld te versturen. De adviseurs in de zaal merkten op dat klanten zelf ook emails sturen met persoonsgegevens, mag dat dan ook niet? Klunder zei: “Daar kan je weinig aan doen. Maar zorg dat je gegevens zelf wél beveiligd verzendt of doorzendt.”

De bijeenkomst eindigde met nog veel onbeantwoorde vragen. Adfiz beloofde alle vragen die er leven te inventariseren en te beantwoorden én te zorgen dat alle leden over de antwoorden kunnen beschikken.

Plan van aanpak volgens Adfiz

  • Inventariseer welke persoonsgegevens je verwerkt en met wie je ze deelt.
  • Bepaal de grondslagen waarom je de persoonsgegevens verwerkt.
  • Bepaal of je verwerking moet aanpassen.
  • Informeer je klanten.
  • Organiseer dat klanten hun recht kunnen uitoefenen.
  • Organiseer de beveiliging, omgang met datalekken en afspraken met verwerkers.
  • Organiseer dossiervorming van wat je doet.
  • Betrek al je medewerkers.
Reageer op dit artikel