Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Beschermen van persoonsgegevens

Privacywetgeving en veranderingen

In de afgelopen jaren was er veel aandacht voor het implementeren van de Europese Algemene verordening gegevensbescherming (Avg). Met het unieke juridische en compliance kennisprofiel, hebben wij ons gestort op deze dienstverlening. De resultaten van de inspanningen zijn de gezaghebbende Duthler Academy en de concepten van smart contracting en smart compliance.

Beschermen van persoonsgegevens is opgenomen in smart contracting

In de generieke IT-services, juridische modellen en professionele dienstverlening is het beschermen van beschermen van persoonsgegevens integraal opgenomen.

Een overzicht:

  • Alle relevante wet- en regelgeving op het vlak van gegevensbescherming zijn opgenomen in smart contracting. Vanuit het wettelijk kader zijn sectorspecifieke juridische modellen opgesteld die vervolgens gekoppeld zijn aan algemeen geaccepteerde baselines. De juridische modellen en de baselines geven aan wat de wetgever beoogt en wat de toezichthouders hebben aangegeven als norm voor compliance;
  • Met behulp van legal entity management (LEM) wordt vanuit het perspectief van de holding het verantwoordelijkheidsdomein van de organisatie opgebouwd en gemanaged;
  • De met behulp van LEM opgebouwde organisatieonderdelen, afdelingen en rollen vormen de basis voor het actuele register van verwerkingen. Dit vormt uiteindelijk de basis voor smart compliance;
  • Als onderdeel van de contractportfolio zijn sectorspecifieke verwerkersovereenkomsten of gegevensuitwisselingsovereenkomsten opgenomen;
  • Het individu, de betrokkene wordt gefaciliteerd met een Personal Data Store (PDS) waarin de volgende services zijn opgenomen:
    • Persoonsgebonden elektronische handtekening; en
    • Smart contracting gericht op het onder regie van het individu verzamelen en delen van persoonsgegevens. Denk hierbij aan: het vragen/ accepteren van toestemming voor bijvoorbeeld aanbieden van reclame-uitingen; gespecificeerde toestemming voor het doorgeven van persoonsgegevens van de ene verantwoordelijke naar de andere verantwoordelijke; en andere situaties waarin de toestemming van het individu noodzakelijk is;
  • Met behulp van een privacy & compliance seal kan de organisatie aan het maatschappelijk verkeer verantwoording afleggen over de effectieve werking van getroffen beheersmaatregelen gericht op het nakomen van de Avg en aanpalende wetgeving; en
  • Duthler Academy biedt functionarissen voor gegevensbescherming (FG’s), sleutelfunctionarissen en medewerkers trainingsmogelijkheden.

Wij bieden met smart contracting en smart compliance een volkomen pakket aan beheersmaatregelen op het vlak van beschermen van persoonsgegevens.

Privacy nulmeting

Met het uitvoeren van de privacy nulmeting wordt een verkennend onderzoek uitgevoerd dat gericht is op het verkrijgen van inzicht in de naleving van wet- en regelgeving op het vlak van gegevensbescherming en privacy. Het onderzoek geeft de verantwoordelijke, raad van bestuur en raad van commissarissen, inzicht in de mate waarin de risico’s zijn afgedekt door maatregelen en de effectieve werking van deze maatregelen.

Data Protection Impact Assessment

Met een Data Protection Impact Assessment (DPIA of PIA) kan een organisatie vooraf de privacyrisico’s van een gegevensverwerking in kaart brengen om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Een belangrijk kenmerk van een DPIA is dat de risico’s vanuit het belang van de betrokkene worden benoemd. De DPIA moet uitgevoerd zijn alvorens gestart kan worden met de verwerking. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie het bedrijf of instelling gegevens verwerkt en voor een aantal voorgeschreven verwerkingen.

Stilte voor de storm

Organisaties hebben het gevoel dat er voldoende is geïnvesteerd in het beschermen van persoonsgegevens. Wij denken ook dat er veel is geïnvesteerd maar de effectiviteit blijft sterk achter. Echter, het beschermen van persoonsgegevens is geen inspanningsverplichting maar een resultaatsverplichting. Wij verwachten dat met het stevige toezichtarrangement van de Avg organisaties door individuen en toezichthouders gevraagd worden de effectiviteit van de beheersmaatregelen gericht op het beschermen van persoonsgegevens sterk te verbeteren.