Congres AVG

Het auditorium van het Ministerie van V. en J. zou naar eigen zeggen nog nooit zo vol hebben gezeten. Zo veel belangstelling was er vandaag 6 juni voor het Congres: De AVG, bent u er klaar voor? Om het eenvoudig te stellen, geen enkele organisatie in Nederland is er klaar voor, maar we hebben nog bijna een jaar te gaan om zaken voor te bereiden.

Want wat is er aan de hand ? Vanaf mei 2018 treedt de AVG in werking in plaats van de huidige Wet bescherming Persoonsgegevens (Wbp). De belangrijkste veranderingen zijn:

• meer privacy rechten (recht om vergeten te worden);
• meer verantwoordelijkheden voor organisaties;
• meer bevoegdheden toezichthouders zoals de autoriteit persoonsgegevens.

Met een aantal quizvragen werden de hoofdpunten benoemd:

• meerdere gemeenten kunnen een FG benoemen;
• een datalek moet nu en straks ook binnen 72 uur worden gemeld;
• een privacy impact assessment (PIA) hoeft alleen uitgevoerd te worden bij hoge privacy risico's zoals camera's in de openbare ruimte.

Onduidelijkheden

Uit de reacties in de zaal en tijdens de workshops bleek dat er nog veel onduidelijkheden zijn. Wie betaalt bijvoorbeeld de kosten voor een datalek bij samenwerkings- en ketenorganisaties ? Je sluit een bewerkersovereenkomst met een leverancier van een cloud-applicaties, maar wie voert de PIA uit? Huur je iemand in om die PIA uit te voeren of borg je de kennis in huis ? Bij het Rijk hebben ze evenals bij KING een standaard model ontwikkeld. Big data bevatten  per definitie altijd een groot privacy risico, maar zijn die wel in beeld?

Begin liever gisteren dan vandaag werd er geadviseerd en hiervoor heeft de Autoriteit Persoonsgegevens een  10 stappenplan ontwikkeld. Daarbij hebben ze ook richtlijnen opgesteld voor FG's.

AVG en Archiefwet

Beetje teleurstellend vond ik het antwoord op mijn vraag dat op dit moment niet bekend is wat de relatie is met de Archiefwet. Van de FG van de gemeente Tilburg had ik vorig  jaar juist begrepen dat er voor archivering een uitzonderingen in de AVG zouden worden opgenomen. Het recht om vergeten te worden kan veel vernietiging van archieven tot gevolg hebben, archieven die we uit bedrijfsmatig en/of cultuurhistorisch oogpunt wel hadden willen bewaren. Op grond van de AVG mogen bijzondere persoonsgegevens (gezondheidsgegevens, strafrechtelijke gegevens, etc.) wel worden bewaard voor archivering (art. 9 lid 2 sub i AVG).

Het lijkt me ook dat archivarissen nu al moeten weten of ze ook gegevens in de verwerkingsregisters moeten opnemen.  Het gaat  dan met name om de bijzondere persoonsgegevens.

De presentaties van de studiemiddag van 6 juni 2017 vind je hier.