- Aanvullende guidelines door de Autoriteit Persoonsgegevens worden verwacht rondom februari 2018. Neem dit mee in je projectplanning;
- Houd Werkgroep Artikel 29 in de gaten. Bekijk deze hier;
- De e-privacy verordening is voorgesteld januari 2017 met gewenste ingang datum per mei 2018, maar het moet nog door 2e kamer (verwachting december 2017, waardoor het vermoeden is pas 2019/20);
- De e-privacy verordening richt zich ook op Cookies regelgeving, anti-spam en telemarketing.
AVG en US Privacy Shield
Kenmerkend is het Trump-effect op de regelgeving. Trump vindt privacy en consumentenbescherming niet zo belangrijk, zo is er bijvoorbeeld ook nog geen ombudsman in de VS aangesteld. Wil je toch data uitwisselen met partijen in de VS, zorg dan voor een gecertificeerde instelling. Uit een eerste evaluatie blijkt dat er circa 2.400 bedrijven zijn aangesloten.
Privacy bij Coolblue
Alles met een glimlach, zelfs de AVG met een glimlach. Cassandra Moons verteld ons een helder en eerlijk verhaal, want Coolblue doel veel met data: “’We love data’. De aanpak is pragmatisch gezien alles wat moet gebeuren. Bij iedere aanpassing of regel wordt er kritisch afgevraagd ‘is dit wel relevant voor ons?’, want we kunnen het ook niet doen.” Zo is ook de vraag van DPO naar voren gekomen. Moeten we eraan voldoen of willen we er wat mee? De interpretatie van Coolblue is dat een DPO niet nodig is. Toch hebben ze besloten om het onderwerp voldoende accountability te geven door een DPO onder IT te hangen.
Recht op vergetelheid versus garantie
Het concept om vergeten te worden is helder, maar wat doe je als de organisatie ook de garantie van je goederen administreert? Wat als je gegevens verwijderd zijn en je wilt aanspraak maken op je garantie? De oplossing is er nog niet, maar het geeft wel aan dat hoe eenvoudig de regel kan zijn en hoe je toch tegen praktische problemen aanloopt.
Expertpanel AVG
Na de pauze tijd is het tijd voor een discussie over de AVG met enkele experts. Aanwezig waren Huib Gardeniers van Net2Legal, Danny Koning van Eigen Haard, Jan-Paul Verboom van FrieslandCampina en Tim Langelaar van VodafoneZiggo. Vervolgens ontstond er een iets te geregisseerde discussie over risk based approach van de AVG. Desalniettemin gaf het een mooie inkijk in de ervaringen bij verschillende organisaties. Een consensus is er; de grote uitdaging zit in het intern verkopen.
Na de lunch waren er diverse thema sessies waaruit gekozen kon worden. Waaronder:
- Privacy en security awareness met Hans van Impelen van Gemeente Utrecht;
- Bepalen en uitvoeren van dataprivacybeleid met Brenda Oenema van Monuta;
- Gegevensverwerking en -tooling met Jan-Paul Verboom van FrieslandCampina;
- Nieuw in de AVG met Nadia Jagusiak van Clifford Chance;
- Anonimisering, beveiliging en cybertreats met Alex van der Wolk van Morrison & Foerster;
- Invulling van DPO-functie met Ellen Beem van Ministerie van V&J.
Enkele leerzame punten uit de sessies
- Veel waren het erover eens dat een verplichte privacy training is noodzakelijk voor voldoende bewustzijn. Een recent (intern) incident is hierbij een waardevolle kapstok;
- Een PIA is altijd noodzakelijk (Monuta). Zelfs als er geen wettelijk verplichting is, dien je dit aan te tonen door een soort mini PIA.
- Privacy beleid dient de aankomende tijd met regelmaat te worden bijgesteld. Er moet ruimte zijn om de guidance van de AG, nieuwe jurispudentie en best pactices snel te kunnen adopteren.
De dag werd afgesloten door keynote speaker Gerrit-Jan Zwenne, hoogleraar Recht & Informatiemaatschappij van Universiteit Leiden.
Waardevolle privacy informatie
De bezoeker swerden na het event getrakteerd op een digitale kluis vol zeer waardevolle informatie, onderzoeken en praktische invullingen van de AVG. Complimenten IIR.