Van Buiten:
ICTrecht

Even bijpraten - Nr2 jaargang 2018

Van buiten: ICTrecht

arnoud

Arnoud Engelfriet, partner ICTRecht:

‘Nederland is niet roomser dan de paus met die Privacy Wetgeving’

Arnoud Engelfriet kan zich behoorlijk opwinden over het feit dat nog wel eens wordt aangenomen dat Nederland met die nieuwe Privacy Wetgeving (AVG/GDPR) roomser is dan de paus. “Dat is een kwaadaardige roddel. Het is een Europese wet die in elk land op dezelfde manier met dezelfde middelen moet worden gehandhaafd. Iets anders beweren, is gewoon fake news.”

Arnoud Engelfriet is partner bij ICTRecht, in 2004 opgericht door Steven Ras die een groeiende behoefte zag aan juridisch advies aan hostingproviders en webwinkels. Als IP Counsel bij Philips en sinds 1993 gespecialiseerd in internetrecht, zag Arnoud die toe was aan een nieuwe uitdaging, de groeipotentie van ICTRecht in de markt en werd in 2008 partner. Inmiddels werken er 40 mensen in Amsterdam en Groningen.


Die nieuwe Privacy wetgeving betekent voor jullie natuurlijk druk, druk, druk?
Arnoud: “Wij krijgen zo’n 50 nieuwe aanvragen per week en zien dat veel bedrijven relatief laat zijn begonnen met zich te verdiepen in die nieuwe wetgeving. Terwijl ze twee jaar geleden dat al hadden kunnen doen. Ik begrijp dat ook wel, want het is een complexe materie, dus je schuift dat het liefst voor je uit. Maar slim is het natuurlijk niet.”


Op 25 mei treedt die nieuwe privacy wet in werking. Wat moet een bedrijf minstens hebben in het kader van de Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels)?
Arnoud: “Het belangrijkste is een Verwerkingsregister, waarin onder meer de doeleinden voor gegevensverwerking staan, een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens, de verstrekking van die gegevens aan een internationale organisatie, de (voorgenomen) bewaartermijnen, wie waarvoor toestemming heeft gegeven en natuurlijk welke beveiligingsmaatregelen er zijn getroffen. Dat kan weliswaar een simpel Excel-bestand zijn, maar denk er niet te licht over. Want hoe lang bewaar je sollicitatiebrieven en waarom? Als een van de medewerkers van een bedrijf ooit een visitekaartje van iemand heeft ontvangen, betekent dat nog niet dat je zo iemand zo maar de Nieuwsbrief van je bedrijf mag sturen. En als er al toestemming voor het toesturen van zo’n Nieuwsbrief is gegeven, betekent dat nog niet je als bedrijf dan maar gelijk een flyer van bijvoorbeeld De Bijenkorf mag meesturen, omdat daarover in die Nieuwsbrief een nieuwtje staat. Het is complex, maar zo’n Verwerkingsregister laat je ook zien waar je als bedrijf op dat moment in het kader van die nieuwe wetgeving staat. En vergeet niet, vanaf 25 mei 2018 moet intern altijd worden gedocumenteerd welke datalekken er zijn geweest, ook als het gaat om kleine kwesties. Wij hebben de nodige info op onze site staan.”

‘Als iemand ooit een visitekaartje van iemand heeft ontvangen, betekent dat nog niet dat je zo maar de Nieuwsbrief van je bedrijf mag sturen’

Moet ieder bedrijf, ongeacht de omvang, een eigen Privacy Officer hebben?
Arnoud: ‘Nee, dat geldt vooral voor Overheidsinstanties en grotere bedrijven. Maar let wel, als je als bedrijf medische gegevens verwerkt, of persoonsgegevens op het vlak van politieke voorkeur of sexuele geaardheid, of als je structureel mensen monitort of volgt, dan kun je niet om een Privacy Officer heen, die ongebonden zijn werk moet kunnen doen. De AVG kent daarvoor overigens geen getalsmatige onderbouwing.”


Zullen de controles direct al streng zijn?
Arnoud: “Dat kun je vooraf nooit zeggen. Onze Autoriteit Persoonsgegevens staat op dit moment niet echt als erg actief bekend, maar dat komt ook omdat de wetgeving dat lastig maakt. Na 25 mei is dat anders. Dan geldt de omgekeerde bewijslast. Niet zij moeten bewijzen, jij moet dat als bedrijf. Ik verwacht eerlijk gezegd niet dat ze direct alle MKB-bedrijven langs gaan om het Verwerkingsregister te controleren. In eerste instantie zullen ze de grotere misdrijven hard aan gaan pakken. Maar nogmaals, het kan altijd.”


Wat merken we straks in de praktijk van die nieuwe Privacy Wetgeving?
Arnoud: “Op papier legt de AVG heel veel handel in persoonsgegevens direct al aan banden. De vele kredietwaardigheid bureautjes krijgen het lastig, want die moeten individuele toestemming hebben om gegevens nog massaal door te kunnen verkopen. Banken kunnen niet meer volstaan met een ‘nee’ op bijvoorbeeld een hypotheek, zij zullen hun beslissing veel beter moeten motiveren en inzage geven in waarop ze die beslissing hebben gebaseerd. Die BKR- of andere kredietwaardigheid registratie moet inzichtelijk zijn voor de aanvrager. Maar die AVG gaat verder. Wat dacht je van Contractuele Compliance? Grotere bedrijven, maar ook overheid, banken, en verzekeraars bijvoorbeeld, willen voor 100% voldoen aan die nieuwe wetgeving en eisen dat ook van hun contractpartners, die op hun beurt dat weer van hun toeleveranciers zullen eisen. Als je als bedrijf bijvoorbeeld een verzekering hebt lopen tegen een datalek en via compliance blijkt dat je je als bedrijf daar via jouw subcontractpartner onvoldoende tegen hebt beschermt, dan keert zo’n verzekering straks gewoon niet meer uit. Het is een olievlek die zich steeds verder uitbreidt.

‘Kredietwaardigheid bureautjes krijgen het lastig, want die moeten individueel toestemming vragen om gegevens nog massaal door te kunnen verkopen’

Maar er is nóg een grote verandering. De nieuwe Privacy Wetgeving stelt particulieren in staat om tegen bedrijven te zeggen, je misbruikt mijn persoonsgegevens en dat levert mij schade op. Een individuele claim zal geen echte indruk maken, maar volgens de AVG kunnen grotere consumentenorganisaties als Bits for Freedom en de Consumentenbond ook een massaclaim indienen. Stel dat 300.000 mensen zich door een ongevraagde flyer van De Bijenkorf benadeeld voelen en de Consumentenbond voert namens die groep een proces, dan zou het maar kunnen dat de rechter straks een schadevergoeding van 10 Euro per benadeelde toekent. Een simpel rekensommetje leert dan dat we het al over 3 miljoen hebben. Dát voel je als bedrijf.”

Deskundig en Praktisch

ICTRecht levert deskundig en praktisch juridisch advies over ICT en privacy, De adviezen zijn begrijpelijk en geven blijk van technische kennis. ICTRecht denkt pro-actief mee met de klant en heeft zijn vier kernactiviteiten opgezet in aparte bedrijfsafdelingen: juridische advisering, trainingen, detachering en overeenkomstenverkoop (via juridische automatisering). Iedere kernactiviteit heeft een eigen organisatorische structuur (www.ictrecht.nl).

Handboek AVG Compliance in de Praktijk

Bij ICTRecht is onlangs het Handboek AVG Compliance in de Praktijk verschenen. Voor wie zich nog snel wil inlezen in de problematiek van AVG, het is te koop via de website van ICTRecht.

Terug naar Nieuwsbrief

Neem een kijkje in
de wondere wereld van
Big Jep