AVG bestaat uit een aantal open normen van Europese regelgeving om verplicht compliant om te gaan met data en persoonsgegevens en werd in 2018 ingevoerd in alle Europese landen met rechtstreekse werking.
Organisaties dienen sindsdien aan een flink aantal eisen te voldoen, zo niet, werd gedreigd met hoge boetes, opgelegd door de landelijke toezichthouder, de Autoriteit Persoonsgegevens (AP).
De Juiste maatregelen werden in een rap tempo genomen. Zoals een privacy beleid, een privacy statement, een verwerkingsregister, verwerkersovereenkomsten om aan alle minst noodzakelijke verplichtingen aantoonbaar te voldoen.
Toen viel het weer enige tijd stil.
Het gevaar dat hoge boetes werden uitgedeeld, bleek in de praktijk wel mee te vallen en mensen zijn geneigd te werken zoals zij dat altijd al deden.
En nu vijf jaar later, gaat het echt over AVG proof 2023 in de praktijk.
AVG maatregelen staan niet op zichzelf, zijn niet alleen operationeel bedoeld of bekend bij een 2e lijn, de IT afdeling of bij de jurist. De AVG gaat over principle driven – open normen structuur en is juist niet een rule based- driven instrument. Voldoen aan de (interne) regels is niet voldoende.
De AVG is gebaseerd op open normen en juiste belangenafweging
Gelet op de steeds sneller gaande digitale ontwikkelingen, waarmee we te maken hebben, zoals Chat GTP, algoritmes, ‘internet of things’ en daarmee het gevaar van fraude, ID diefstal of hack van systemen, is de AVG ook niet voor niets gebeiteld in stenen regeltjes, maar bestaat uit open normen.
De omstandigheden veranderen, maar open normen kunnen worden blijven ingevuld. Dat zorgt voor duurzame data compliance en hard nodig in deze tijd!
Open normen, (zoals bijvoorbeeld het noodzakelijkheidsbeginsel), geeft een kader om zelf na te denken over de eigen praktijk, de specifieke omstandigheden en risico’s zelf te kunnen beoordelen en adviezen te geven, zodat verwerkingen van persoonsgegevens, voldoen aan de AVG.
Door bijvoorbeeld de uit mediation de bekende 5 W (en 1H)-vragen te stellen blijft de organisatie AVG Proof’ 2023:
- Wie: van wie worden de persoonsgegevens verwerkt?
- Wat: in welke categorieën vallen de persoonsgegevens? (minimale gegevensverwerking, dus welke soorten gegevens zijn strikt noodzakelijk)
- Wanneer: wat is de bewaartermijn? (opslagbeperking en gegevens niet langer bewaren dan noodzakelijk voor het doel)
- Waarom: wat is het doeleinde en wat is de wettelijke grondslag? (rechtmatigheid, behoorlijkheid en transparantie)
- Waar: waar worden de gegevens opgeslagen?
- Hoe: op welke manier worden de gegevens verwerkt en zijn er minder ingrijpende manieren ? (subsidiariteit)
Door samen deze praktische vragen te blijven stellen en te beantwoorden wordt handen en voeten gegeven aan het privacy beleid. Samen met alle interne en externe stakeholders die daarbij betrokken zijn.
Daarmee is AVG proof niet meer ” rule based- driven” (in 2018) maar principle driven (in 2023) en komt daarmee op een volwassen niveau in risicobeheer in verwerken van persoonsgegevens.
De open normen in de AVG zorgen er juist voor dat veel wel kan, mits over nagedacht 5 w’s en 1 h) Nieuwsbrief FG/ AP 2022)
Niet angst voor hoge boetes of administratieve rompslomp, maar vanuit een vanzelfsprekende gevoelde noodzaak wordt zorgvuldig met data en persoonsgegevens om gegaan.
AVG proof 2023 is geen dode letterwet
De AVG kenmerkt zich juist door, het kan, mits (er echt over is nagedacht, juist beargumenteerd en in een afweging van de wederzijdse belangen: in plaats van mag niet en pas op! Daarmee hoef je ook geen jurist te zijn of een IT risk specialist, maar beschikt over werkervaring en de 5 W’s weten te stellen omdat het bij je dagelijkse werk hoort.
Optimaal privacy beleid kenmerkt zich door:
- Open normen: De W-vragen regelmatig (laten) stellen en door iedereen die werkt met persoonsgegevens. de 5 W’s checken en weer verder, maakt dat een organisatie AVG proof is en blijft!
- Juiste mensen aan het stuur: privacy beleid en uitvoering is juist niet alleen het werkterrein van juridische en IT data specialisten. de verantwoordelijkheid in de AVG ligt daarom uitdrukkelijk bij directie en management (het systeem zelf) om voor te zorgen voor privacy proof anno 2023
- Praktische Privacy Sessies organiseren waarbij privacy specialisten ondersteunen. dmv casuïstiek en interacties, de interne samenwerking dwars door de gehele organisatie heen stimuleren, om van elkaar te leren en te groeien.
- Regelmatige bijsturing en evaluatie van technische beveilings enbeheersmaatregelen is een continu proces, op basis van meetbaarheid, rekenschap, dialoog en commitment, dat regelmatig evalueert en herhalen, klopt het nog, kan het minder, anders etc.
- Praktische tip; Het helpt daarvoor om een data protection impact assessment (DPIA) op te stellen, en om ‘privacy by design’ & ‘privacy by default’ in de praktijk toe te passen door een verwerkingsregister up to date in te richten.
In 2019 heb ik als privacy jurist voorlichting gegeven en de AVG op deze wijze toegelicht, toen ik destijds werkzaam was als privacy consultant bij Privacy Management Partners in Utrecht (PMP). Zij waren hun tijd ver vooruit of anders, de tijd was toen nog niet rijp. voor het inzicht dat privacybeleid zich niet beperkt tot het nemen van de juiste maatregelen en opstellen van een paar documenten. Het gaat er om dat de AVG bestaat uit open normen waarbij altijd een belangenafweging van geval tot geval wordt gemaakt door de mensen, de verantwoordelijken zelf. Door middel van de 5 W’s en 1 Hoe.
Daarom vind ik de AVG als open normen regelgeving een pareltje, (ook als mediator, afweging van belangen die soms tegenover elkaar staan) een lichtend voorbeeld voor meer rechtsgebieden. Want vanuit open normen en niet vanuit strikte regelgeving, protocollen, noodzaakt mensen na te denken, maakt mensen meer (rechts)bewust en zelf verantwoordelijk. Daarmee alleen al zorg je voor meer betrokkenheid en verbinding met een organisatie waar je werkt, bijvangst van AVG proof.