Dat is een claim die ik steeds vaker terug zie komen in privacyverklaringen, op websites of in verwerkersovereenkomsten. Gek eigenlijk. Veel minder vaak lees ik: “Wij houden ons aan de wet koop op afstand” of “wij voldoen aan onze belastingverplichtingen”. Dat zou allemaal vanzelfsprekend moeten zijn. Maar is dat het eigenlijk wel?
De AVG is in de kern niet anders dan zijn voorganger, de Wet bescherming persoonsgegevens. Voordat je iets met gegevens wilt doen, zorg je dat duidelijk is welk doel dat dient. Om dat doel te bereiken zoek je een passende grondslag zoals dat zo mooi heet. Bijvoorbeeld toestemming, of een gerechtvaardigd belang. Als dat helder is, bepaal je welke persoonsgegevens je nodig hebt om dat doel te bereiken.
Misschien is het de angst voor astronomische boetes waardoor iedereen graag laat zien aan de AVG te voldoen. Misschien is het creëren van vertrouwen een belangrijke reden om te laten zien dat je aan de AVG voldoet, of zit het ergens tussen deze twee argumenten in.
Feit blijft dat het een van de vele wetten is waar je als organisatie aan bent gebonden. Hoewel ik goed snap dat niet iedereen de hele dag met privacy en de AVG bezig is, snap ik soms ook niet hoe gemakkelijk men over de verplichtingen heen wil stappen: “Die eerste boete is toch niet voor mij”, “maar hoe groot is nu eigenlijk de kans dat de Autoriteit Persoonsgegevens bij mij langs komt” of “het is allemaal zo’n administratieve rompslomp”. Het zijn argumenten die ik allemaal al eens heb gehoord als excuses om niet aan de AVG te voldoen.
Wat mij betreft onzinnige argumenten. Het is wetgeving waar je aan moet voldoen. Dat is overigens vaak helemaal niet zo ingewikkeld als het lijkt. Wees eerlijk en open in wat je doet met gegevens. Leg dat netjes uit in een privacyverklaring, documenteer in een verwerkingsregister, ga zorgvuldig met gegevens om en controleer dit regelmatig. Bovendien is eerder uit onderzoek gebleken dat aantoonbaar voldoen aan de AVG ook concurrentievoordeel op kan leveren. Dat wil echter ook weer niet zeggen dat je met het kopen of opstellen van een paar documentjes klaar bent. Voldoen aan de AVG is een continu proces. Van het bijhouden van je verwerkingsregister, het opstellen en controleren van verwerkersovereenkomsten, het juist afhandelen van inzageverzoeken en datalekken tot het zorgen van bewustwording. Het is iets dat continu aandacht verdient.
Om aan te tonen dat webwinkels zich aan de wet koop op afstand houden is er bijvoorbeeld het Thuiswinkel Waarborg. Om aan te tonen dat je aan de AVG voldoet hebben wij Privacy Verified ontwikkeld. Een transparante en onafhankelijke toetsing, waarbij wij verifiëren of u zich daadwerkelijk aan de AVG houdt. Zo is de claim dat u zich aan de AVG houdt niet alleen meer uw eigen claim, maar is deze ook onderbouwd en extern getoetst. Bovendien helpt Privacy Verified bij het continu voldoen aan de AVG. Wij kunnen uw verwerkersovereenkomsten auditen, uw helpen bij de afhandeling van datalekken of het updaten van uw verwerkingsregister.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.