De AVG: Een waarschuwing voor bedrijven
Artikel 1 van de AVG stelt de doelstelling van de verordening duidelijk: het waarborgen van het recht op bescherming van persoonsgegevens. Een spraakmakend voorbeeld van de uitvoering van deze doelstelling is terug te zien in de sanctie opgelegd aan de modeketen H&M in 2020. H&M kreeg een boete opgelegd van 35,3 miljoen euro voor het illegaal verzamelen en opslaan van gedetailleerde informatie over het privéleven van zijn werknemers. Deze zaak onderstreept het belang van het hebben van IT-systemen die in lijn staan met de doelstelling van de AVG. Zo kunnen bedrijven niet alleen boetes voorkomen, maar ook het vertrouwen van hun klanten en medewerkers versterken.
Om deze redenen is het van cruciaal belang dat bedrijven hun IT-systemen zodanig inrichten dat zij voldoen aan de eisen van de AVG. Dit betekent dat IT-systemen moeten zijn ontworpen om persoonsgegevens te beschermen door middel van adequate technische en organisatorische maatregelen. In de volgende alinea’s zullen we bespreken waarom zulke IT-systemen van belang zijn voor bedrijven en hoe ze kunnen worden ontwikkeld en geïmplementeerd.
Het belang van data-inventarisatie
In de eerdergenoemde H&M-zaak werden persoonsgegevens opgeslagen die de AVG omschrijft als ‘bijzondere persoonsgegevens’. In het geval van de modeketen waren dit gegevens over de gezondheid, familieomstandigheden en geloofsovertuigingen, die volgens de keten bedoeld waren om persoonlijke berichten aan haar medewerkers te geven. Gegevens als deze zijn, met uitzonderingen daargelaten, volgens de AVG alleen toegestaan onder speciale voorwaarden. Gepersonaliseerde berichten voldoen niet aan deze voorwaarden.
Om dergelijke situaties te voorkomen, is het belangrijk om aan data-inventarisatie en gegevensminimalisatie te doen. Dit houdt in dat organisaties een overzicht bijhouden van alle persoonsgegevens die zij verzamelen, verwerken en opslaan. Op basis van dit overzicht kan worden gecontroleerd welke gegevens volgens de AVG wel of niet mogen worden opgeslagen. Gegevens die worden opgeslagen zonder juridische grondslag, moeten worden verwijderd.
Wanneer dergelijke gegevens toch aanwezig zijn bij een datalek of, zoals in het geval van H&M, door een klokkenluider worden geopenbaard, is de organisatie aansprakelijk voor de geleden schade.
Cruciale maatregelen voor gegevensbescherming
Naast de verplichting om alleen de correcte persoonsgegevens te bewaren, rust er ook een plicht om te zorgen dat deze gegevens niet in de handen van verkeerde partijen belanden. Organisaties kunnen dit realiseren door diverse technische en organisatorische maatregelen te implementeren. Terwijl technische maatregelen, zoals versleuteling en pseudonimisering, een belangrijke rol spelen in de bescherming van gegevens, ligt de nadruk in dit stuk op de organisatorische maatregelen die cruciaal zijn voor de naleving van de AVG.
De rol van organisatorische maatregelen
De organisatorische maatregelen binnen een organisatie zijn primair gericht op het ontwikkelen en implementeren van effectief bedrijfsbeleid en spelen een cruciale rol in het ondersteunen en uitvoeren van technische maatregelen. In dit systeem is de Data Protection Officer (DPO) een van de meest essentiële actoren. Of een organisatie verplicht is om een DPO aan te stellen, hangt af van de aard en omvang van haar bedrijfsactiviteiten. Publieke organisaties zijn bijvoorbeeld altijd verplicht een DPO te benoemen. Daarnaast vereist de AVG dat organisaties die op grote schaal bijzondere categorieën van persoonsgegevens verwerken of systematisch toezicht houden op individuen, een DPO in dienst nemen. Zelfs als de aanstelling van een DPO niet wettelijk verplicht is, kan het toch verstandig zijn om een DPO aan te stellen, omdat dit het vertrouwen van klanten vergroot en helpt bij het verminderen van juridische aansprakelijkheid.
De onmisbare functie van de Data Protection Officer
De DPO heeft verschillende taken die essentieel zijn voor de naleving van de AVG. Toezicht en advies vormen de kern van deze taken. De DPO is verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens binnen het bedrijf om ervoor te zorgen dat dit in lijn is met de AVG. Wanneer er sprake is van afwijkingen, adviseert de DPO hoe het beleid kan worden aangepast om aan de wettelijke vereisten te voldoen. Daarnaast is de DPO belast met de documentatie en rapportage van persoonsgegevens. Dit omvat het opstellen van rapporten, het documenteren van gegevensverwerkingsactiviteiten en het rapporteren aan de leidinggevende of autoriteiten.
Een belangrijk principe in het werk van de DPO is onafhankelijkheid, zoals vastgelegd in artikel 38 van de AVG. De DPO moet direct rapporteren aan de hoogste leidinggevende binnen de organisatie en mag geen instructies ontvangen over hoe hij of zij de taken moet uitvoeren. Deze onafhankelijkheid is ook cruciaal voor de rol van de DPO als schakel tussen de organisatie en de toezichthoudende autoriteiten. De DPO fungeert als het primaire aanspreekpunt voor de autoriteiten, verstrekt of verzoekt de benodigde informatie en zorgt voor een soepele communicatie. Naast de externe communicatietaken heeft de DPO ook een belangrijke interne rol. Het is essentieel dat het personeel op de hoogte is van de juiste procedures om te voldoen aan de AVG. De DPO zorgt hiervoor door middel van trainingen en bewustmakingsprogramma’s, zodat medewerkers goed geïnformeerd zijn over hun verantwoordelijkheden op het gebied van gegevensbescherming.
Effectief omgaan met datalekken: Het incidentresponsplan
Ondanks alle voorzorgsmaatregelen kan het voorkomen dat er een datalek optreedt. In zulke gevallen is het cruciaal dat een DPO een goed voorbereid noodplan heeft opgesteld, beter bekend als een incidentresponsplan. Dit plan beschrijft de stappen die onmiddellijk moeten worden genomen om het incident te identificeren, de schade te beperken, en de juiste partijen, zoals toezichthoudende autoriteiten en betrokkenen, op de hoogte te stellen. Een effectieve incidentrespons zorgt ervoor dat een organisatie snel kan handelen om de gevolgen van een datalek te minimaliseren en verdere risico’s te voorkomen. Het incidentresponsplan vormt een essentieel onderdeel van de bredere strategie voor gegevensbescherming, zoals vereist door de AVG, en helpt de organisatie om te voldoen aan haar wettelijke verplichtingen.
Conclusie: Lessen uit de H&M-zaak
De zaak van H&M in 2020 dient als een krachtige les in de ernstige gevolgen van het niet naleven van de AVG. De opgelegde boete van 35,3 miljoen euro toont aan dat het naleven van de regelgeving rond gegevensbescherming niet alleen een wettelijke verplichting is, maar ook cruciaal is voor het behoud van het vertrouwen van medewerkers en klanten.