Wie is er bang voor de Grote Boze Toezichthouder?

De nieuwe Europese privacywetgeving komt eraan: de Algemene Verordening Gegevensbescherming (AVG) ook wel bekend onder de Engelse naam General Data Protection Regulation (GDPR). We snappen nog niks van de AVG, maar we zijn er wel bang voor.

We weten dat we heel gemakkelijk een hele hoge boete kunnen krijgen van de toezichthouder als we het verkeerd doen. En omdat we het nog niet zo snappen, zijn we heel erg bang. Is dat terecht?

Datalekken

Eerst even over wanneer je die boete kunt krijgen. De al lang bekende Meldplicht Datalekken is onverkort in de AVG overgenomen. Eigenlijk is de meldplicht een onderdeeltje van de AVG dat naar voren is geschoven. Meld je een datalek niet op tijd, dan kun je een boete opgelegd krijgen. En die boete kan erg hoog zijn. Dat is om ervoor te zorgen dat uw accountant gaat vragen of u uw procedures rondom datalekken en de gehele informatiebeveiliging op orde heeft. Op die manier hoeft de toezichthouder niet overal langs.

U overtreedt al de wet door geen idee te hebben wat u aan persoonsgegevens in huis heeft en welke risico’s u daarmee loopt. Als u dat wel weet maar u doet er niets mee, kan het zijn dat u welbewust verkeerd met privacy omgaat wat ook een wetsovertreding is. De boete kan dan oplopen tot 20 miljoen euro. Deze boete is zo hoog om ervoor te zorgen dat ook heel grote internationaal opererende firma’s op gaan letten. Het gaat hier natuurlijk om van die firma’s waar u klant bent omdat u hun gratis software gebruikt, bijvoorbeeld op uw mobieltje of om uw vakantiefoto’s op te slaan.

Autoriteit Persoonsgegevens

De toezichthouder is de Autoriteit Persoonsgegevens (AP). Deze stond vroeger bekend onder de naam College bescherming persoonsgegevens (CBP). Dit was een duistere club. Je kon er geen contact mee krijgen, je kon ze niks vragen maar ze konden wel ineens op de stoep staan om te zien wat je fout deed en dan was je de pineut. Ze waren toezichthouder pur sang.

Hun rol gaat veranderen. Ze krijgen er een heleboel taken bij, zoals voorlichting geven, vragen beantwoorden, sancties opleggen, meer toezicht houden en bewustzijn vergroten. En daarvoor wordt de toezichthouder groter.

Hoeveel groter? Ach, sinds het nieuwe regeerakkoord weten we dat ze er 7 miljoen bijkrijgen en dus slechts verdubbelen. Het is maar zeer de vraag of dat genoeg is om het uitgebreide takenpakket aan te kunnen.

Functionaris gegevensbescherming

Niet bang zijn dus? Nou, dat valt nog te bezien. In de AVG staat dat iedere instelling die persoonsgegevens verwerkt, moet beschikken over een functionaris gegevensbescherming (FG). Een FG is de lokale toezichthouder. Die houdt bij welke verwerkingen van persoonsgegevens plaatsvinden, of dat volgens de wet gebeurt, adviseert over verbeteringen en rapporteert aan de verantwoordelijke. Gaat er iets mis dan moet de verantwoordelijke dat melden aan de AP. Die zal dan eerst eens met de FG overleggen voordat hij of zij tot actie overgaat. Dat scheelt een hoop werk. Zo hoeft de AP zich niet echt druk te maken en is die schrale verdubbeling van de capaciteit wellicht dik in orde.

Moet u bang zijn voor de toezichthouder? Nee, u moet gewoon weten wat u aan gegevens in huis heeft, de risico’s kennen en er wat mee doen. Ook een kwestie van uw cliënten of patiënten recht in de ogen kunnen kijken.

Berend de Vries, managing partner Comfort-IA

DELEN
1
1238
Berend de Vries
Berend de Vries heeft al meer dan 20 jaar ervaring met ict in de zorg. Sinds 2009 is hij Managing Partner van Comfort-IA. Hij richt zich op informatiseringsbeleid en informatiebeveiliging voor zorginstellingen en gemeentelijke instanties. Zijn blogs voor Zorgvisie schrijft hij meestal samen met zijn collega Jaap van der Wel.

1 REACTIE

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.