Privacy
GDPR, AVG, privacy, allemaal termen die ik, privacy expert, vandaag door elkaar gebruik, terwijl eigenlijk GDPR en AVG de enige afkortingen zijn die dezelfde invulling hebben. Privacy reflecteert de invulling van artikel 8 van het Europees verdrag van de rechten van de mens, waarbij een ieder het recht heeft op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. En waarbij geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is.
Het mag gezegd worden dat België enigszins een pionier was, want op 8 december 1992 werd de wet tot bescherming van de persoonlijke levenssfeer gepubliceerd en die had toch al enige gelijkenis met de AVG. AVG is de afkorting voor “Algemene Verordening Gegevensbescherming” die de regels vastlegt betreffende de verwerking van persoonsgegevens en het vrije verkeer van die persoonsgegevens, biedt een ruimer kader, en heeft nog meer aandacht voor de rechten van betrokkene. De wet van 1992 werd opgeheven bij de implementatie van de kaderwet van 30 juli 2018.
Gegevensbescherming is dan toch iets genuanceerder dan privacy. Kort door de bocht, privacy is een ruimer begrip dan gegevensbescherming. Deze laatste gaat over persoonlijke gegevens van een natuurlijk persoon die gedigitaliseerd, over het net gedeeld, vermenigvuldigd, gemanipuleerd, gewist en ge- of misbruikt kunnen worden.
Expertise
Met de voorgaande definities in het achterhoofd, en de kennis van de Algemene verordening, startte ik in 2017 met de eerste opdrachten rond gegevensbescherming. En toen kwam het besef dat ik eigenlijk niet ver zou geraken met een geslaagd examen die slechts mijn kennis bevestigde van de verordening. Ik moest een stap terug zetten en reflecteren over mijn theoretische kennis, mijn ervaring in het bedrijfsleven en de affiniteit met IT. Expert word je dus niet zomaar. Het is een proces van vallen en opstaan.
Na al de tijd heb ik een bepaald ritme opgebouwd. Ik start het eerste uur van mijn werkdag met het lezen van adviezen en arresten die gepubliceerd werden door de autoriteiten en rechtbanken. En van daaruit kijk ik naar de noden van mijn klant.
Enkele voorbeelden van hoe het verdere verloop gaat. Bij het opstellen of nalezen van een verwerkingsregister ga ik steeds uit van het end-to-end proces, waarbij alle activiteiten opgesomd worden en gerelateerd worden aan actoren en IT assets. Ik pin me hierbij niet vast op de voorgeschreven regels van de verordening. Dit om ervoor te zorgen dat mensen niet in mijn plaats de selectie maken van wat er al dan niet persoonsgegevens zijn. De ervaring leert dat de samenwerking net iets vlotter verloopt wanneer de buzz words van GDPR, privacy en data gemeden worden.
Andere voorbeelden zijn een advies formuleren rond een nieuw project, de aankoop van een nieuwe tool, een aanpassing, etc. Dan hanteer ik de elementen van artikel 5, de basisprincipes als leidraad om dit te formuleren. Wat is het doel van onze verwerking? Welke gegevens zijn hiervoor noodzakelijk? Hoe lang moeten deze bewaard worden? Hebben we de betrokkenen voldoende geïnformeerd? Wat is onze wettelijke grondslag voor deze verwerking? Zijn onze gegevens veilig? Hoe houden we de gegevens correct?
Ik zit regelmatig samen met de business en met de IT afdeling om op de hoogte te zijn van nieuwe implementaties, nieuwe processen, … De essentie is dat ik niet de GDPR implementeer maar dat de klantgerichtheid betekent dat ik een volledig inzicht wil in de werking en de processen, en van daaruit de verbetertrajecten identificeer en implementeer.
De expert bepaalt de optimale vertaling van deze principes binnen de business context, en identificeert de raakvlakken met IT security, informatiebeveiliging en wetgeving.
En verder
Alle stappen die uitgevoerd worden, dienen gelogd te worden omwille van de verantwoordingsplicht die een wettelijke vereiste is. Het is altijd een samenwerking tussen verschillende partijen en geen solotraject. Netwerking is belangrijk om je eigen kennis te verruimen, net als je aanpak.
Gegevensbescherming is geen one-shot waarbij we vlug alle data samen stoppen in een folder om aan te tonen dat we compliant zijn. Gegevensbescherming heeft niet de eindbestemming als doel, het gaat hem over de reis. Deze reis leidt tot een cultuurverandering binnen de organisatie waarbij het vanzelfsprekend wordt dat de privacy expert wordt betrokken bij de beslissingen en waarbij we als organisatie steeds meer bewust zijn van de transacties en de persoonsgegevens die hiermee gepaard gaan.
Door blijvend aandacht te geven aan het recht op privacy van onze klanten, medewerkers en andere betrokkenen is het niet langer nodig om de GDPR te aanschouwen als een kost, maar een manier om je organisatie beter te profileren vanuit ethisch of zelfs competitief standpunt.
Stephanie Witters
Privacy consultant
Heeft uw organisatie te weinig zicht op de impact van de geldende verplichtingen rond privacy? Breng uw verplichtingen in kaart a.d.h.v. een Privacy Compliance Assessment.
Ondersteuning bij de implementatie en uitbouw van (privacy) compliance binnen uw organisatie.
Nood aan opvolging en ondersteuning? Op zoek naar een onafhankelijke DPO? Infosentry kan als uw DPO worden aangesteld of de interne DPO ondersteunen.