Thijs Marques over de ontwikkelingen rondom de GDPR-/ AVG- wetgeving.

Een interview met Thijs Marques (Ratho) over de ontwikkelingen rondom de AVG- wetgeving.

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat in de hele Europese Unie dezelfde privacywetgeving geldt. Hierdoor kwamen er meer verantwoordelijkheden bij de organisaties te liggen. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Thijs Marques is functionaris gegevensbescherming en kwaliteitsmedewerker bij Ratho en neemt ons mee in de ontwikkelingen rondom AVG. Als jurist, heeft Thijs in 2021 de ICT recht opleiding tot FG gevolgd en heeft in 2022 het Europees erkende CIPP/E certificaat voor privacy professionals gehaald. 
 

Wat is het verschil tussen informatiebeveiliging en AVG? 

Informatiebeveiliging en privacy/AVG compliance zijn twee aparte domeinen die wel een overlap hebben maar een andere invalshoek.

• Bij informatiebeveiliging gaat het over het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie.

• Bij privacy gaat het om de bescherming van de persoonlijke levenssfeer. De verwerking van persoonsgegevens (AVG) is hier een onderdeel van.

Informatiebeveiliging is vooral 'risk based' terwijl je bij de AVG vooral bezig bent met de naleving van de AVG- wetgeving. Bij privacy draait het om risico’s voor de rechten en vrijheden van natuurlijke personen. De mens en negatieve effecten voor hem/haar staan centraal. Bij informatiebeveiliging draait het om risico’s met betrekking tot informatie binnen een organisatie. Het draait om het waarborgen van de continuïteit van de organisatie, vanwege haar sterke afhankelijkheid van informatie. 

De overlap is te vinden in het volgende: Volgens de AVG moeten persoonsgegevens ‘passend’ worden beveiligd. Om van een ‘passend’ beschermingsniveau te kunnen spreken, moeten de beveiligingsmaatregelen zijn afgestemd op de risico’s (zie de afbeelding). 

AVG is een redelijk nieuwe wetgeving. Hoe kijk jij naar de implementatie van deze nieuwe regelgeving in de afgelopen 4 jaar? 

Voor ons is de AVG niet nieuw. We zijn hier al jaren intensief mee bezig. Daarvoor zetten we het volgende in: 

• We voeren assessments uit bij risicovolle verwerkingen van persoonsgegevens, Data Protection Impact Assesment (DPIA).  

• In ons verwerkingsregister worden onze verwerkingsovereenkomsten jaarlijks geüpdatet.

• We zorgen continue voor passende beveiligingsmaatregelen en beschermen we de rechten van betrokkenen. Dit borgen we doordat we het updaten en bijhouden van onze verwerkingen hebben geborgd in ons ISMS (Information Security Management Systeem) dat we onder andere gebruiken voor onze ISO27001 voor informatiebeveiliging. 

• Middels een PDCA-cyclus (Plan-Do-Check-Act) cyclus zorgen we voor continue verbetering en naleving van onder andere de AVG-wetgeving. 

Omdat we al jaren via de PDCA-methode in ons ISMS werken waren deze werkzaamheden geen grote aanpassing. De afgelopen jaren hebben we op het onderwerp privacy de puntjes op de i gezet door ons verder te verdiepen in de privacywetgeving. Dit hebben we gedaan door het aanstellen van een Functionaris voor de Gegevensbescherming (FG).  

Voor ons is het nu een kwestie van bijhouden. Dit doen we door documenten periodiek te updaten aan de hand van de laatste wijzigingen. Uiteraard houden wij ook het nieuws over privacy en de inbreuken hierop goed in de gaten.                                                                                            

Wat is de grootste uitdaging voor bedrijven om hun AVG/GDPR op orde te hebben? 

Tijd en kennisoverdracht naar de reguliere medewerker. Tijd want als je de AVG voor 100% wil volgen kost dit erg veel tijd. Sommige taken, zoals het opstellen en periodiek updaten van een verwerkingsregister, zijn niet het leukst om te doen.
Bij Ratho hebben we een manier gevonden om informatiestromen met persoonsgegevens in al onze processen vrij gemakkelijk in kaart te brengen. Dit bespaart tijd.  

Een andere uitdaging is kennisoverdracht omdat, mede door de stand van de technologie, we heel eenvoudig zeer grote databases kunnen delen. Denk aan Whatsapp, WeTransfer, maar ook email en USB-sticks. Verkeerd gebruik van deze middelen leidt zeer snel tot datalekken met mogelijk nadelige gevolgen voor de personen wiens gegevens zijn gelekt. Wie heeft er nou nog nooit een e-mail naar de verkeerde persoon gestuurd? 

Wat zijn de risico's als het niet op orde is? 

Datalekken met een hoog risico voor de betrokkene. De betrokkene kan hier zowel fysiek, materieel of immaterieel hinder van ondervinden.  

• Fysieke schade hierbij zijn bijvoorbeeld cruciale medische gegevens gewist waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt. 

• Materiële schade hierbij kan iemand online bestellingen kan plaatsen op kosten van een ander. Of andere vormen van financieel verlies of identiteitsdiefstal of -fraude.

• Immateriële schade hierbij is er kans op discriminatie, reputatieschade of inbreuk op iemands persoonlijke levenssfeer.

Hoe blijf jij zelf up to date over de ontwikkelingen rondom GDPR/AVG? 

Door mijn opleiding ICT-Recht en CIPP/E. Voor CIPP/E moet je studiepunten halen zodat je certificaat geldig blijft. Hiervoor moet ik up-to-date blijven door bijvoorbeeld minimaal elke 3 maanden een webinar te volgen over de recente ontwikkelingen. Daarnaast volg ik veel privacy professionals op LinkedIn en lees ik veel artikelen rondom dit onderwerp.  

Wat zijn toekomstige ontwikkelingen die jij verwacht rondom AVG? 

Ik denk dat we over 20 jaar terugkijken en denken: ‘hoe hebben we deze jaren zo laks met persoonsgegevens en andere vertrouwelijke informatie kunnen omgaan?’ Als informatie eenmaal openbaar is gemaakt kan het niet omgedraaid worden. Mensen worden nu al jaren achtervolgd met video’s of foto’s die ze graag voor zichzelf hadden gehouden. Op de bescherming van persoonsgegevens zal (terecht) strenger worden gecontroleerd. 

Hoe kunnen bedrijven anticiperen op eventueel nieuwe regelgeving en ontwikkelingen? 

Door informatieveiligheid en privacy serieus te nemen. Geef een collega deze taak en geef deze de tijd en middelen om dit serieus op te pakken. Inventariseer welke persoonsgegevens en andere ‘kroonjuwelen’ je wilt beschermen en ga dan na welke risico’s je loopt op het gebied van vertrouwelijkheid, beschikbaarheid en integriteit. Dit doe je door middel van een risicoanalyse.
Hoeveel risico ben je bereid te lopen met je kroonjuwelen? Het antwoord op die vraag geeft je mate van risico tolerantie aan en vanuit hier kan je maatregelen nemen om je risico’s te beheersen. Als je dit jaarlijks doet neem je vanzelf alle nieuwe technologieën mee in je beoordeling. Wet- en regelgeving lopen altijd achter de technologie aan. Als je de privacy- en informatieveiligheidsrisico’s dus al beheerst, zal compliance met de veranderende regelgeving niet je grootste uitdaging zijn. 

 Wij helpen jou graag om de risico’s in kaart te brengen

Tech bedrijven, ook die waar wij mee samenwerken, komen op dit onderdeel nog wel eens in het nieuws. Periodiek voeren wij een kritisch assessment uit bij onze leveranciers. Tijdens een assessment kijken wij of onze data nog wel veilig is, waar de data is opgeslagen en welke beveiligingsmaatregelen er genomen zijn. Dit doen we voor de bescherming van de persoonsgegevens van onze medewerkers, maar ook die van onze opdrachtgevers en hún medewerkers of leerlingen. 

Door onze investering in kennis merken we dat onze klanten steeds vaker naar ons toekomen voor advies over privacy en de implementatie van AVG-wetgeving in hun eigen processen. 

Krijg snel inzicht in jouw informatiebeveiliging en AVG compliance met onze Cyber security scan. Vraag deze direct aan.