Hoe kunnen bedrijven, organisaties en overheden zich voorbereiden op de GDPR (AVG in het Nederlands), die vanaf 25 mei 2018 volledig van toepassing is? Wat is het plan van aanpak? Een interessant podcast-interview van BNR Nieuwsradio met Paul Bessem, mede auteur van het boek ‘Blockchain organiseren’ en docent van de DPO opleiding Sergej Katus, partner bij Privacy Management Partners.
Enkele highlights uit het dialoog:
- De GDPR: een privacy kwestie of een machtskwestie?
“Een machtskwestie. Mensen schuiven de verantwoordelijkheid af; wie is er verantwoordelijk voor jouw data? Vraag die ervoor ligt; waar ligt de data? Bring your own data!”
“Control is een belangrijk woord: niet voor niets adresseert de GDPR vooral de ‘controller’ (verwerkingsverantwoordelijke). Kun jij de macht die je hebt als controller ook waar maken? De GDPR gaat over ownership van data (goed huisvaderschap)”
- Verschillende toezichthouders
“DPO kun je een beetje vergelijken met een account. Zijn verantwoordelijkheid gaat zelfs verder omdat hij wettelijk toezichthouder is. In de GDPR worden twee toezichthouders genoemd. Op landelijk niveau opereert de Autoriteit Persoonsgegevens. De DPO is de decentrale toezichthouder op organisatieniveau.”
- Wanneer moet je een DPO aanwijzen?
“Ben je als bedrijf op een extra privacygevoelige manier bezig zoals grootschalige verwerking van bijzondere persoonsgegevens (gegevens over de gezondheid bijvoorbeeld) of ben je een publieke organisaties, dan moet je een DPO in huis te hebben.”
- Begin bij de “hoe” vraag
“Stel jezelf de vraag: wat ben ik voor organisatie? Is data van strategische betekenis voor mij? Wat is de impact van de GDPR op mijn organisatie? Hoe voer data ownership op juiste wijze uit? Het is een strategie voor de toekomst. Hoe kunnen wij toekomst-vast ons ding blijven doen?”
- Digitale duurzaamheid: privacy bij design!
“Data is de olie van de informatiemaatschappij. Organisaties kunnen zonder data niet bestaan of innoveren. De GDPR verbiedt daarom ook niet om data te verwerken maar je moet het wel digitaal duurzaam doen; privacy bij design! Hoe gaan wij maatschappelijk verantwoord om met persoonsgegevens? Zijn wij moreel en duurzaam bezig?”
- Privacy Impact Assessments (PIA’s)
“En hoe begrijp je hoe je maatschappelijk verantwoord omgaat met persoonsgegevens? Dat bepaal je aan de hand van privacy impact assessments (PIA’S). Bij voorkeur wordt tijdens zo’n PIA ook de dialoog gezocht met personen over wie data wordt verwerkt – denk aan consumenten en medewerkers. ”
- De grootste misverstanden omtrent de GDPR?
“Denken dat het een IT probleem is; het is een strategisch vraagstuk! ”
Kom niet voor verrassingen te staan en wees voorbereid op de GDPR
Sergej Katus is hoofddocent van de 4-daagse opleiding Data Protection Officer. De onderwerpen besproken in dit artikel komen tijdens deze opleiding uitgebreid aan bod. En goed nieuws! Wegens grote belangstelling gaat er in mei 2018 een extra editie van start! Meer informatie?
Bekijk de opleiding