Nog een dikke week en dan geldt in de hele EU dezelfde privacywetgeving. Overheden, bedrijfsleven en verenigingen die vanaf 25 mei nog niet voldoen aan de Algemene verordening gegevensbescherming (AVG) zijn in overtreding en riskeren boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Executive Finance sprak Aleid Wolfsen, voorzitter van de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) en wilde alles van hem weten (over de AVG).
CFO’s krijgen ook met nieuwe verordening persoonsgegevens te maken
Wolfsen wijst erop dat ook CFO’s met de nieuwe verordening te maken krijgen omdat veel financiële gegevens zijn gerelateerd aan persoonsgegevens van klanten. Bedrijven moeten zich continu afvragen welke persoonsgegevens ze in huis hebben, op basis waarvan ze deze gegevens hebben, of ze er op een integere en veilige manier mee omgaan en of de gegevens niet langer dan noodzakelijk bewaard worden.
Mensen zullen gebruik maken van hun nieuwe rechten
Dat is echter maar één kant van de AVG. “De andere kant is dat mensen vanaf 25 mei nieuwe rechten hebben gekregen en daar ook gebruik van gaan maken”, waarschuwt Wolfsen. “Die zullen zeggen: mag ik inzage in mijn gegevens? Of, ik ga van telecomaanbieder A naar aanbieder B en ik wil mijn gegevens meenemen. Daar moet je als bedrijf aan kunnen voldoen en dat vereist dat je gegevensboekhouding goed op orde is.”
Naast finance liggen compliance en IT in veel gevallen ook op het bordje van de CFO. Dat zijn gebieden die duidelijk raken aan de AVG. Wat betekent dat voor de rol van de CFO als het gaat om gegevensbescherming?
“Het hangt een beetje af van de omvang van de onderneming of organisatie. Overheidsinstellingen moeten allemaal een Functionaris Gegevensbescherming (FG) hebben die verantwoordelijk is voor de gegevensbescherming. Bedrijven moeten een FG hebben als ze grootschalig data verwerken die van gevoelige aard zijn, bijvoorbeeld gezondheidsgegevens. Deze FG heeft een speciale positie, hij is verantwoordelijk voor het interne toezicht. Als er geen FG is, spreken wij formeel de CEO aan, maar intern zal deze taak vaak zijn toegedicht aan de CFO als die ook voor IT verantwoordelijk is.”
Wat betekent het in de praktijk?
“De CFO of een andere medewerker die verantwoordelijk is voor het toezicht op persoonsgegevens moet zorgen dat de databoekhouding op orde en goed beveiligd is. Bij de opdracht voor een nieuw automatiseringssysteem moet rekening worden gehouden met twee principes: ‘privacy by default’ en ‘design by default’. Privacy by default betekent dat het systeem zo moet worden ontwikkeld dat het design privacyvriendelijk is en niet onnodige gegevens vraagt of opslaat. Design by default houdt in dat alle standaardinstellingen, bijvoorbeeld knoppen op de website om wel of geen toestemming voor iets te geven, standaard op privacyvriendelijk staan. Dat is nu vaak niet het geval.
Beveiliging is cruciaal! Vaak zie je dat het daar misgaat. Als je als CFO verantwoordelijk bent voor alles wat met privacy te maken heeft, kun je je werk niet goed doen als je geen verstand hebt van de digitale wereld.”
In de verordening wordt gesteld dat een Functionaris Gegevensbescherming verplicht is bij grootschalige gegevensverwerking. Wat wordt verstaan onder grootschalig?
“Dat is een beetje arbitrair. Er is een richtlijn en die staat op onze website. Er staan objectieve criteria in waaraan je je moet toetsen, zoals over hoeveel betrokkenen gaat het? Hoeveel wordt er verwerkt? De duur van het gebruik en de geografische omvang. Er zal echter altijd een soort bandbreedte zijn. Bedrijven moeten goed beredeneren waarom zij van mening zijn dat ze wel of niet op grote schaal gegevens verwerken en of ze wel of niet een FG nodig hebben. Van ziekenhuizen die zeggen niet op grote schaal gegevens te verwerken, weten we dat dit niet klopt. Er is echter een grijs gebied waarvan wij soms zullen zeggen: we snappen dat u hebt gezegd dat het geen grote schaal is, maar wij vinden van wel. U hebt er goed over nagedacht, maar moet het toch aanpassen. Hier geven we guidance. Het hangt van de goede wil van de instelling af of we gaan beboeten: zijn ze te goeder trouw of proberen ze doelbewust de wet te omzeilen? Voor overheidsinstellingen en grote bedrijven die grootschalig persoonsgegevens verwerken is een FG verplicht. Als ze die niet hebben, is er iets fundamenteel mis met het interne toezicht.”
Hoe staat het er dit op dit moment voor? Zijn alle overheidsinstellingen, bedrijven en verenigingen al AVG-proof?
“Ik ben de ene dag optimistischer dan de andere eerlijk gezegd. We horen soms hele goede berichten dat mensen drukdoende zijn. Soms zeggen ze dat ze het nog niet allemaal op orde hebben, maar bij doorvragen blijkt dit mee te vallen. Mensen maken zich weleens onnodig zorgen. We zien aan de andere kant ook enquêtes van bedrijven waarin wordt gesteld dat driekwart zijn zaakjes nog niet op orde heeft. De waarheid zal ergens in het midden liggen.”
Wat gebeurt er als bedrijven zelf een lek melden?
“Als er een lek is kijken we of we als AP op tijd zijn geïnformeerd en of er door het bedrijf adequaat is gereageerd. Daarnaast kijken we of de betrokkenen tijdig zijn geïnformeerd en of er sprake is van een incident of structureel beveiligingsprobleem.
Neem het voorbeeld van het Haga ziekenhuis in Den Haag waar verschillende personeelsleden zonder toestemming hebben gekeken in het dossier van een patiënt. Hier was de autorisatie niet op orde, dat is een evident lek. Het ziekenhuis heeft adequaat gereageerd door de betreffende patiënt op de hoogte te stellen van het lek en alle medewerkers die in het patiëntendossier keken, een berisping en de waarschuwing te geven. Het ICT-beleid van het ziekenhuis wordt nu onder de loep genomen. Dat volgen wij om te zien of ze het goed doen.
Sinds het in werking treden van de AVG letten we meer op lekken die gemeld hadden moeten worden, maar waarbij dit niet is gedaan.”
Naar welke sectoren wordt extra gekeken?
“We kunnen niet van tevoren zeggen wat wij gaan doen. Dat hangt ook af van de klachten die bij ons binnenkomen. Alle klachten die binnenkomen gaan we ook echt behandelen. We worden een soort ombudsman voor de privacy. We letten natuurlijk scherp op sectoren die gevoelige persoonsgegevens hebben zoals gezondheids- en financiële gegevens en seksuele of politieke voorkeur. Speciale aandacht is er ook voor alles wat met beveiliging te maken heeft en datahandel. Vooral over dat laatste krijgen we nu al veel klachten binnen.”
In de AVG is sprake van omgekeerde bewijslast. Hoe kun je dit goed invullen?
“Je kunt gewoon opschrijven hoe je de situatie hebt beoordeeld en welke maatregelen je hebt getroffen. Je moet de achterliggende redenering vastleggen. Bij bedrijven met meer dan 250 werknemers moet dit worden vastgelegd in een databoekhouding. Als we komen controleren, vragen we als eerste naar de boekhouding en naar de FG. Als we reageren op een klacht van een burger dat het bedrijf data zonder zijn toestemming heeft gebruikt, vragen we het bedrijf naar toestemming van de klant. Het is aan het bedrijf om aan te tonen dat er om toestemming is gevraagd.”
Begin dit jaar stuurde VNO-NCW een brief naar de Tweede Kamer waarin werd verzocht bij (mkb) bedrijven de AVG niet direct te handhaven. Wat vindt u daarvan?
“VNO-NCW weet al drie jaar dat deze wet eraan komt. Ze hebben in mei 2016, toen de AVG officieel in werking trad, een overgangsperiode van twee jaar gekregen en die is nu ten einde. Ze zijn sterk betrokken geweest bij de lobby in Europa. Als er een organisatie is die weet hoe het in elkaar zit dan is het VNO-NCW. Alle bedrijven die daarbij zijn aangesloten worden geacht van de hoed en de rand te weten. Ik heb deze oproep zelf meer opgevat als een verzoek om op de kleine bedrijven te letten. Daar heb ik begrip voor.”
Lees ook:
In 5 stappen AVG-proof (forse boetes van max 20 miljoen bij overtreding)
Organisaties niet klaar voor aangescherpte privacyregels ondanks dreiging forse boetes
