Europese Dag van de Privacy 2021

Het doel van deze dag is om Europese burgers beter te informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Ook worden bedrijven en organisaties op deze dag aangespoord de bescherming van persoonsgegevens te verbeteren.

De keuze voor deze dag ligt in het “Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens”, 28 januari 1981 van de Raad van Europa.

Duthler Associates is vanaf haar oprichting in 1998 voorvechter van privacy. Het gaat er in de kern om dat personen én bedrijven (overheden, bedrijven en andere organisaties) regie kunnen uitoefen over hun gegevens. Grip op gegevens biedt mogelijkheden tot regie over je leven en regie over de continuïteit van de bedrijfsactiviteiten. Dat klemt nu een beetje omdat personen en bedrijven goede afspraken moeten maken over het verwerken van met name persoonsgegevens. Het neemt niet weg dat er ook afspraken nodig zijn over het gebruik van bedrijfsgegevens.

Hieronder een aantal tips voor personen en bedrijven.

Tips voor personen

Overheden en bedrijven verwerken steeds meer persoonsgegevens. Het doel van de verwerking is veelal het leven van personen ‘te verbeteren’. Het individu heeft echter beperkte of geen regie over zijn of haar (zijn) gegevens. Het ontbreekt het individu hierdoor aan de vrijheid om zelf te bepalen voor welke verwerkingen zijn gegevens gebruikt mogen worden én ook in welke verwerkingen het individu kan participeren. Het gevaar van buitensluiten en willekeur is reëel aanwezig.

Hoe kan het individu met deze situatie omgaan? Wij geven een aantal tips:

Tip 1: Informatie ecosysteem

Bouw voor je eigen “informatie eco-systeem” je gegevensset op en zorg ervoor dat deze actueel blijft. Met je eigen informatie eco-systeem bedoelen wij de verzameling van partners (bijvoorbeeld vrienden, werkgevers of zorgaanbieders) waarmee je afspraken kunt maken over het verwerken van je gegevensset.

De gegevensset moet wel voldoen aan een aantal uitgangspunten. Zo zullen de gegevensdefinities algemeen geaccepteerd moeten zijn, borg je zelf de betrouwbaarheid van de gegevens en moeten er sluitende afspraken over het verwerken van persoonsgegevens gemaakt kunnen worden.

Tip 2: Eigen regie aanbieden van (persoons)gegevens

Betrouwbare gegevens onder jouw regie aan geïdentificeerde partners aanbieden levert jou én partners toegevoegde waarde.

De toegevoegde waarde bestaat uit: meer zekerheid over de betrouwbaarheid en actualiteit van gedeelde gegevens en het op elk moment stop kunnen zetten van het delen. Meer zekerheid over de betrouwbaarheid van gegevens verlaagt de transactie-, compliance- en risicokosten. Bovendien beschikken bedrijven over gepersonaliseerde gegevens waarmee de individuen optimaal kunnen worden bediend.

Tip 3: Afspraken maken over de verwerking

Maak met het bedrijf sluitende afspraken over het verwerken van je gegevens. Sluitende afspraken ontstaan met partners die behoren tot je informatie eco-systeem. Je maakt gebruik van duidelijke overeenkomsten met eenduidige beschrijving van rechten en plichten, en je partner legt periodiek verantwoording af over de effectieve werking van getroffen beheersmaatregelen gericht op het beschermen van de persoonsgegevens zoals omschreven in de wet en afgesproken in de overeenkomst.

Je zou kunnen denken: ‘is dit niet allemaal zwaar opgetuigd?‘ Ik denk het niet. Vrijheid is een groot goed en de geschiedenis leert dat wij het erg gaan missen wanneer het wordt afgenomen.

Bovendien wordt er in de gezondheidssector hard gewerkt aan het faciliteren van de regie voor het individu over zijn eigen leven; en afgeleid hiervan de eigen medische gegevens (zie wetgeving en het initiatief MedMij).

Tips voor bedrijven

Het is even wennen voor bedrijven als individuen regie uitoefenen over hun gegevens en zij met individuen hierover afspraken gaan maken. Het is essentieel voor de continuïteit van de bedrijfsactiviteiten dat het bedrijf compliant is met de gemaakte afspraken. Indien het bedrijf de afspraken niet nakomt, zal het individu immers afscheid nemen van het bedrijf.  

Hoe kan een bedrijf met deze situatie omgaan? Wij geven een aantal tips:

Tip 1: Organiseren van een informatie eco-systeem

Bouw een informatie eco-systeem op en zorg ervoor dat deze actueel blijft. Het informatie eco-systeem van een bedrijf kan bijvoorbeeld bestaan uit medewerkers, leveranciers en klanten. Met de deelnemers uit het eco-systeem maakt het bedrijf afspraken over het verwerken van (persoons)gegevens.

Het bedrijf presenteert zich met betrouwbare en actuele bedrijfsgegevens aan haar partners. Het bedrijf kan bestaan uit een holding met entiteiten, die op hun beurt zijn opgebouwd uit organisatieonderdelen. Bedrijfsonderdelen kunnen aan leveranciers vragen gegevens te werken en zullen afspreken dat deze bedrijven passende beheersmaatregelen treffen om persoonsgegevens effectief te beschermen.

Het overzicht en inzicht in deze relaties alsmede de effectiviteit van de beheersmaatregelen vormen een belangrijke bron voor het voldoen aan de eigen verantwoordingsplicht zoals in wetgeving en aangegane overeenkomsten wordt bedoeld.

Tip 2: Het belang van betrouwbare (bedrijfs)gegevens

Het aanbieden van betrouwbare bedrijfsgegevens aan geïdentificeerde partners levert het bedrijf én partners toegevoegde waarde.

De toegevoegde waarde bestaat uit: meer zekerheid over de betrouwbaarheid en actualiteit van gedeelde gegevens. Bovendien kan het bedrijf op elk moment het delen stopzetten. Meer zekerheid over de betrouwbaarheid van gegevens verlaagt de transactie-, compliance- en risicokosten. Bovendien beschikken bedrijven over gepersonaliseerde gegevens waarmee de individuen optimaal kunnen worden bediend.

Tip 3: Sluitende afspraken maken met partners

Maak met partners sluitende afspraken over het verwerken van persoons- en bedrijfsgegevens.

Sluitende afspraken ontstaan met partners die behoren tot het informatie eco-systeem. Maak gebruik van duidelijke overeenkomsten met eenduidige beschrijving van rechten en plichten, en zorg voor het periodiek afleggen van verantwoording over de effectieve werking van getroffen beheersmaatregelen gericht op het beschermen van de persoonsgegevens zoals omschreven in de wet en afgesproken in de overeenkomst.

De wetgever verwacht van een bedrijf dat beheersmaatregelen gericht op het beschermen van persoonsgegevens toereikend en effectiviteit zijn. De aard en omvang van de maatregelen vloeien voort uit de wet, contractuele verplichtingen en beleid. Wij mogen verwachten dat bedrijven zich over de effectiviteit van de beheersmaatregelen over 2020 verantwoorden en dat er een compliance jaarplan voor 2021 is vastgesteld door de leiding.

In het compliance plan 2021 zullen de nodige Data Protection Impact Assessment (DPIA) zijn gepland. Het uitvoeren van een DPIA is niet het afhandelen van een checklist zoals we helaas vaak zien. Het uitvoeren van een DPIA is vakwerk. Het is daarom verstandig om hiervoor een goed opgeleide professional in te schakelen of op te leiden. Een DPIA is geen éénmalige risicoanalyse maar wordt gedurende de life cycle van de verwerking van persoonsgegevens bijgehouden.

Zorg als organisatie ervoor dat de functionaris voor gegevensbescherming of privacy officer over de laatste kennis en kunde beschikt.

Tenslotte

Slechts het perspectief van de tips voor personen en het bedrijven verschilt. Personen willen regie over hun leven; bedrijven willen regie over hun bedrijfsactiviteiten. Als partijen sluitende afspraken kunnen maken over het verwerken van persoonsgegevens kunnen beide doelen worden bereikt.

Neem contact met ons op voor vragen of een afspraak via info@duthler.nl of +31 0(70) 392 22 09. Geen zin om te mailen of bellen?Author: André Biesheuvel
Binnen de praktijk van Duthler Associates vervult André de rol van managing partner en is hij vakinhoudelijk verantwoordelijk voor Organisatie & ICT en Compliance.