Privacy & Data Protection Officers Summit Europe

Afgelopen woensdag en donderdag heb ik deelgenomen aan de ‘Privacy & Data Protection Officers Summit Europe’ te Parijs. Het aantal deelnemers was beperkt, maar dat bood tegelijkertijd de mogelijkheid om de sprekers nader te bevragen. De sprekers waren allemaal privacy professionals, werkzaam bij nationale autoriteiten persoonsgegevens, multinationals en legal-consultants. Zeker ook gezien het niveau van deze sprekers, heeft dit tot een aantal interessante discussies geleid. Hieronder volgen de belangrijkste take-aways van deze twee dagen:

– De Autoriteit Persoonsgegevens eist/verwacht niet dat per 25 mei 2018 organisaties 100% privacy accountable zijn. Wat ze wel eisen/verwachten, is dat organisaties kunnen laten zien dat ze op weg zijn om GDPR compliant te worden.

– Heb je als DPO geen project-management ervaring, stel dan voor het GDPR accountability project een aparte projectmanager aan.

– Werk als DPO aan het opbouwen van een privacyteam en stakeholder-netwerk.

– Zorg dat je als DPO echt onafhankelijk bent.

– Maak een GDPR-roadmap en prioriteer de uit te voeren activiteiten. Kies daarbij voor een modulaire aanpak.

– Gebruik een privacy compliance-tool. Dit draagt bij aan het GDPR-compliant worden, geeft inzicht in de mate van GDPR-compliancy / accountability en voorkomt dat je het wiel opnieuw moet uitvinden.

– Zorg voor een goed georganiseerde data-huishouding. Maak daarbij gebruik van een zo compleet mogelijke data-inventarisatie die zich baseert op gestandaardiseerde data-definities.

– Handel door ‘betrokkenen’ gedane verzoeken op een goede manier af.

– Anticipeer op mogelijke datalekken, door het opstellen van een datalek protocol.

– Leer van concullega’s en partners hoe zij invulling geven aan het GDPR-compliant worden.

– Voorkom dat ‘uncapped aansprakelijkheid’ en/of ‘compensatie verplichtingen’ voor aan derde opgelegde boetes worden opgenomen in verwerkingsovereenkomsten.

– Kies, indien mogelijk, voor het gebruik van een alternatieve wettelijke grondslag (Legitimate interest) anders dan ‘toestemming’ .

– Formuleer verzoeken om toestemming niet vaag.

Zoals u kunt lezen, hebben we veel kennis opgedaan, die we als PrivacyO kunnen gebruiken om onze klanten nog beter te kunnen begeleiden met het GDPR-compliant worden. En omdat de Autoriteit Persoonsgegevens aangeeft dat ze vanaf 25 mei 2018 verwacht dat iedereen moet kunnen laten zien dat ze goed op weg zijn GDPR-compliant te worden, sporen we ondernemers en overheden aan hieraan tijdig invulling te geven.

Om maar eens een oude vertrouwde uit de kast te halen: voorkomen is beter dan genezen.