GDPR ‘panic’ of momentum pakken?

Het kan u niet zijn ontgaan: per 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (“AVG”), ook bekend als de General Data Protection Regulation (“GDPR”) van kracht. Leest u over de GDPR, dan gaat het al snel over de forse boetes en de druk die de invoering voor organisaties (wereldwijd!) oplevert. Duurt een gesprek over dit onderwerp lang genoeg, dan roept er vanzelf iemand: het is het nieuwe SOx[1]! Vanwaar deze drukte? Is deze terecht? En is er nog een gouden randje te onderkennen?

Eerst de gebaande paden. Scant u deze alinea, dan ziet u dat ook ik hier niet ontkom aan het aanstippen van de boetes die de GDPR introduceert: met maximale boetecategorieën van € 10 tot 20 mio of 2 tot 4% van de wereldwijde jaaromzet, afhankelijk van de ernst van de overtreding. U kunt er niet onder uit: deze bedragen zetten de GDPR op de kaart. Hoe streng en onmiddellijk de handhaving zal zijn is nog onduidelijk. Wij houden goed in de gaten met hoeveel fte de Autoriteit Persoonsgegevens (“AP”) wordt uitgebreid de komende jaren.[2]

Kom ik op “wereldwijd”. Niet voor niets genoemd met een uitroepteken! Het materiële en territoriale toepassingsbereik van de GDPR is uitdrukkelijk groter dan die van de huidige Privacyrichtlijn, nu geïmplementeerd door de EU-lidstaten in nationale wetgeving. Bedrijven zonder vestiging in de EU die zich richten op EU-burgers vallen nu ook – zonder omwegen – onder het bereik van de GDPR.[3] De combinatie van dit grote bereik met de hoge boetes maken dat dit onderwerp ook buiten de EU hoog op de (board) agenda’s terecht is gekomen. Werkt u voor een organisatie met een hoofkantoor in de VS dan kunt u hierover meepraten.

Mogelijk komt uit deze hoek ook de uitroep in die discussie dat de introductie van de GDPR doet denken aan de introductie van SOx in de vroege jaren ’00. Gaat die vergelijking met SOx – in het slechtste scenario gekoppeld aan een toename van interne bureaucratie zonder daarnaast het doel van de wetgever te bereiken – op?

Feit is dat de GDPR noopt tot meer interne registratie en er dus van een bureaucratisch gehalte sprake is. Eén heel concrete verplichting is het bijhouden van een interne verwerkingsregister. Deze verplichting geldt voor zowel de “verwerkingsverantwoordelijke” als voor de “verwerker”.[4] Deze verplichting vervangt de oude trouwe notificatieplicht aan de AP welke gold in de afgelopen 16 (!) jaar waarin de Wet bescherming persoonsgegevens (“Wbp”) van kracht was. Met de introductie van het interne verwerkingsregister brengt de GDPR de overgang van het afleggen van externe rekenschap (‘accountability’) naar interne rekenschap.

Kom ik uiteindelijk toe aan die gouden rand die ik aan het begin van dit artikel noemde. De hoge boetes geven wind in de zeilen aan dit onderwerp. De aandacht vanuit het hoofdkantoor zorgt ervoor dat horizontaal en verticaal door de organisatie ruimte wordt gemaakt in ieders agenda voor de voorbereiding op de GDPR. Werken aan genoemde ‘interne registerplicht’ kan het startschot zijn van een reeks van cruciale conversaties – kris kras door de organisatie. Het onderwerp kan trouwens beter verkocht worden: ‘datamapping’ dekt de lading ook.

In deze gesprekken mogen simpele vragen weer gesteld worden.[5] Wat hebben we liggen aan data? Wat doen we ermee? Wat willen we ermee in de toekomst? Wat zijn de mogelijkheden? Die gesprekken kunnen aanleiding geven tot een grote schoonmaak. Welke (hoofd)overeenkomsten hebben we liggen? Staat er iets in over persoonlijke gegevens, hebben we een bewerkersovereenkomst liggen, wat staat daarin, is deze ‘GDPR-proof’? Mocht het erop aankomen (lees: in geval van een datalek, of opgelegde boetes) hebben we dan onze contracten op orde? Sluiten processen aan op wat is vastgelegd in de overeenkomsten? Hoe zien onze huidige trainingen eruit? De overstap naar het afleggen van interne rekenschap leidt volgens mij tot volwassenwording van uw organisatie op het onderwerp van data en gegevensverwerking.

En het beste nieuws: de insteek van deze gesprekken mag positief zijn. Want mogelijk is uw organisatie al “onbewust ‘compliant’”. Met de aanstaande GDPR en de registerverplichting krijgt uw organisatie het duwtje in de rug om de upgrade te maken naar “bewuste ‘compliance’”. De principes neergelegd in de GDPR zijn namelijk niet nieuw en zeker niet onredelijk. Het is onze ervaring dat in organisaties gegevensverwerkingen al snel langs deze lijnen (blijken te) worden uitgevoerd en dat het voldoen aan de vereisten van de Wbp (en straks de GDPR) nabij is.

Voor de nieuwkomers op het onderwerp in een notendop: er is een grondslag nodig voor verwerking – bijvoorbeeld de uitvoering van een overeenkomst, een wettelijke bepaling, misschien toestemming? Aan elke gegevensverzameling en –verwerking moeten doeleinden worden gekoppeld. Het structureel vastleggen van die doeleinden zorgt voor efficiëntie binnen de organisatie. Simpel: het is bekend welke bestanden voor welke doelen kunnen worden gebruikt. Informeer betrokkenen, die bepaalde rechten hebben. Zorg dat deze kunnen worden uitgevoerd als het zover is – liefst ook op efficiënte wijze. Geef de principes van proportionaliteit en noodzakelijkheid een plek in uw afwegingen om gegevens te verwerken. De verplichting om in bepaalde gevallen een “gegevenseffectbeoordeling” (ook wel: ‘Privacy Impact Assessment’) helpen daarbij. Voornoemde principes zijn niet moeilijk uit te leggen. Ook niet aan een overijverige marketingafdeling of aan ambitieuze data-analisten.

Kortom. De drukte rondom de komst van de GDPR is begrijpelijk. Met zulke boetes wordt gewicht gegeven aan een onderwerp, waaraan het de afgelopen 16 jaar ontbrak. Tijd om de boel serieus te nemen. Voor de organisatie die al in harmonie met de Wbp handelde: ‘keep calm and carry on’ – zet de tanden in dat interne verwerkingsregister en de wijzigingen die de GDPR brengt. Voor de organisatie die nog vanaf nul moet beginnen: vrees niet, u heeft niet met onredelijke wetgeving te maken. Technologische ondersteuning om de bureaucratische last te verlichten is ruim beschikbaar. Het is uiteraard wel zaak om snel zicht te krijgen op de juridische, organisatorische en technische uitdagingen die u het komende jaar staan te wachten. Zo kunt u snel tot gerichte actie overgaan. GDPR-implementatie kost absoluut energie, maar kan uw organisatie verbinding en inzicht opleveren. Daarbij kan Legal een sleutelrol vervullen en partijen aan tafel krijgen. Laat ‘GDPR compliance’ meer zijn dan het temmen van een papieren tijger.

[1] Zie ook onze voorgestelde aanpak van uw bewerkersrelaties, niet alleen relevant voor de zorg: https://www2.deloitte.com/nl/nl/pages/legal/articles/bewerkersovereenkomsten-in-de-zorg-waarom-wanneer-en-hoe.html
[1] Sarbanes-Oxley, Amerikaanse wet o.a. inzake financiële verslaglegging.
[2] https://www.rijksoverheid.nl/documenten/rapporten/2017/05/31/tk-bijlage-eindrapportage-aef-def
[3] Over het vereiste om een vertegenwoordiger in Nederland aan te wijzen om via die weg de toepasselijkheid van de Wbp te borgen: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2016:14088
[4] Onder de huidige Wbp zijn dit de “verantwoordelijke” die doel van en middelen voor de gegevensverwerking bepaald, en de “bewerker” die gegevens slechts verwerkt op instructie van de verantwoordelijke.
[5] Zie ook onze voorgestelde aanpak van uw bewerkersrelaties, niet alleen relevant voor de zorg: https://www2.deloitte.com/nl/nl/pages/legal/articles/bewerkersovereenkomsten-in-de-zorg-waarom-wanneer-en-hoe.html

Over de auteur(s)

Marloes Dankert

Marloes Dankert heeft zich gespecialiseerd op het gebied van privacy en gegevensbescherming. Binnen Deloitte heeft zij een bijzondere brugfunctie waarbij zij deel uitmaakt van zowel het IP/IT & Commercial team van Deloitte Legal als het Privacy Team bij Deloitte Risk Advisory. In deze opzet staat zij klanten bij met advies over specifieke privacy-gerelateerde vraagstukken, en tegelijk is zij betrokken bij langlopende projecten waarbij zij “naast de klant” staat en hen niet alleen adviseert, maar ook helpt bij de implementatie en uitwerking van deze adviezen. Haar focus ligt op de medische (technologische) sector, nieuwe technologieën en overheid.

Marloes zal op 6 oktober op het General Counsel NL Najaarscongres 2017 een Roundtable sessie moderaten waarin het verankeren van de GDPR vereisten door General Counsel binnen zijn/haar bedrijf centraal zal staan.