Sanne Mulder (DDMA): AVG grootste privacy uitdaging voor veel organisaties

Datum: 19 oktober 2017

Sanne Mulder (DDMA): AVG grootste privacy uitdaging voor veel organisaties

Sanne is als legal counsel bij DDMA gericht op het slaan van een brug tussen de juridische kant en de praktijk en helpt bedrijven deze brug te slaan. In aanloop naar de DDMA Data Dag vroegen we haar naar actuele juridische ontwikkelingen, zoals de AVG en het effect ervan op organisaties.

Wat zijn de grote uitdagingen voor bedrijven op het gebied van privacy?

“ Bedrijven zijn de laatste jaren al actief bezig met zichzelf te herstructureren, maar heel actueel is de nieuwe wetgeving AVG / GDPR waar bedrijven klaar voor moeten zijn in mei 2018. Naast het voldoen aan de regelgeving is het daarbij belangrijk dat je weet wat er speelt in je bedrijf op het gebied van data en wat je strategie is op dat gebied.

Zijn bedrijven hier wel klaar voor?

Heel veel bedrijven niet, en we zien wel wat paniek ontstaan bij bedrijven die de deadline nu snel op zich af zien komen. Uit eigen onderzoek is gebleken dat nog maar 36% klaar is, en dat is best angstig aangezien we verwachten dat er na mei 2018 flinke boetes zullen gaan vallen. Dat zegt Aleid Wolfsen van de Autoriteit Persoonsgegevens regelmatig in de media in ieder geval. Niet om bedrijven bang te maken, maar er zullen best wat voorbeelden worden gesteld door de toezichthouder en de boetes liegen er niet om. Na mei 2018 zien we pas echt wat de toezichthouder er mee wil, en waar de consumenten over klagen.

Is dit nu nieuw of oude wijn in nieuwe zakken?

Een beetje van beide; heel veel is niet nieuw. Bijvoorbeeld de grondslagen om persoonsgegevens te verwerken en verplichtingen op het gebied van beveiliging.  Maar er zijn ook nieuwe dingen. Bijvoorbeeld een aantal nieuwe rechten voor consumenten (zoals het recht op dataportabiliteit), strengere eisen aan de verwerkersovereenkomst en meer regulering op het gebied van automatische besluiten bij profilering.

Wat zijn tips die je hebt voor bedrijven?

Gewoon beginnen. Je weet pas wat je moet doen als je begint en in kaart hebt gebracht welke gegevens je hebt en waar de risico’s liggen. Ieder bedrijf dat persoonsgegevens verwerkt – B2C én B2B – moet straks voldoen aan de AVG. Dus begin gewoon met het in kaart brengen van alle data; waar staat de data, waarom heb je de data nodig en hoe lang mag je het bewaren? Vraag je ook af welke grondslag je hebt om de persoonsgegevens te gebruiken:

  1. Noodzakelijk voor een overeenkomst – zoals een bankrekeningnummer of een bezorgadres
  2. Noodzakelijk onder “Gerechtvaardigd belang” – Deze grondslag is moeilijk in een paar woorden te vatten, maar je mag sommige gegevens verwerken voor marketingdoeleinden mits de inbreuk op de privacy voor personen beperkt is.
  3. Toestemming – iemand heeft toestemming gegeven om zijn/haar data te gebruiken voor een bepaald doel

Dus begin bij het in kaart brengen van je database, en zorg er ook voor dat het data gedreven denken meer bekendheid krijgt binnen de organisatie. Uiteindelijk moet iedere marketeer bij een nieuwe campagne denken: “He, dit is misschien een persoonsgegeven. Wie kan me hierbij helpen?”

Wat denk je van het ultieme doel van het halen van een 360 graden beeld van de klant?

Hoe ver wil je gaan met die 360graden? Als ik nieuwe oordopjes koop, is het misschien handig om te weten met wat voor apparaat ik de oordoppen wil gebruiken en dat ik vaak op de fiets zit, maar mijn hobby’s, muziekvoorkeur en allerlei andere informatie over mijn persoonlijke leven zijn daarvoor niet interessant.

Zoveel mogelijk data verzamelen zonder duidelijk doel staat haaks op de privacywetgeving.  Natuurlijk is het fijn om veel data te verzamelen maar voor veel bedrijven lijkt het een doel op zich. Natuurlijk kun je in theorie met meer data je klanten beter bedienen, maar aan de andere kant wordt met de groei van de hoeveelheden verzamelde persoonsgegevens ook de kans op een inbreuk op de privacy van consumenten groter.

En als laatste: wordt de consument ooit zelf baas over zijn/haar persoonsgegevens?

Dat is een hele interessante discussie. De AVG geeft –onder andere met meer rechten voor individuen-  meer controle aan mensen. Veel mensen raken natuurlijk de grip kwijt over hun gegevens en snappen niet meer wat er gebeurt. Het idee is dat de AVG daar verandering in gaat brengen. Maar goed, de technologische ontwikkelingen en dataprocessen gaan ontzettend snel. Denk aan een ontwikkeling als AI. Lastig om te zeggen hoe de controle van individuen over data daarin een rol zal spelen.

Meer weten over de AVG/GDPR? Kom naar de sessie van Sanne Mulder op de DDMA Data Dag op 23 november. Ze behandelt hier de meestgestelde vragen over dit onderwerp uit haar dagelijkse praktijk als legal counsel bij DDMA. Tickets zijn nog verkrijgbaar: datadag.nl/tickets.