Afgelopen woensdag en donderdag heb ik deelgenomen aan de ‘Privacy & Data Protection Officers Summit Europe’ te Parijs. Het aantal deelnemers was beperkt, maar dat bood tegelijkertijd de mogelijkheid om de sprekers nader te bevragen. De sprekers waren allemaal privacy professionals, werkzaam bij nationale autoriteiten persoonsgegevens, multinationals en legal-consultants. Zeker ook gezien het niveau van deze sprekers, heeft dit tot een aantal interessante discussies geleid. Hieronder volgen de belangrijkste take-aways van deze twee dagen:
– De Autoriteit Persoonsgegevens eist/verwacht niet dat per 25 mei 2018 organisaties 100% privacy accountable zijn. Wat ze wel eisen/verwachten, is dat organisaties kunnen laten zien dat ze op weg zijn om GDPR compliant te worden.
– Heb je als DPO geen project-management ervaring, stel dan voor het GDPR accountability project een aparte projectmanager aan.
– Werk als DPO aan het opbouwen van een privacyteam en stakeholder-netwerk.
– Zorg dat je als DPO echt onafhankelijk bent.
– Maak een GDPR-roadmap en prioriteer de uit te voeren activiteiten. Kies daarbij voor een modulaire aanpak.
– Gebruik een privacy compliance-tool. Dit draagt bij aan het GDPR-compliant worden, geeft inzicht in de mate van GDPR-compliancy / accountability en voorkomt dat je het wiel opnieuw moet uitvinden.
– Zorg voor een goed georganiseerde data-huishouding. Maak daarbij gebruik van een zo compleet mogelijke data-inventarisatie die zich baseert op gestandaardiseerde data-definities.
– Handel door ‘betrokkenen’ gedane verzoeken op een goede manier af.
– Anticipeer op mogelijke datalekken, door het opstellen van een datalek protocol.
– Leer van concullega’s en partners hoe zij invulling geven aan het GDPR-compliant worden.
– Voorkom dat ‘uncapped aansprakelijkheid’ en/of ‘compensatie verplichtingen’ voor aan derde opgelegde boetes worden opgenomen in verwerkingsovereenkomsten.
– Kies, indien mogelijk, voor het gebruik van een alternatieve wettelijke grondslag (Legitimate interest) anders dan ‘toestemming’ .
– Formuleer verzoeken om toestemming niet vaag.
Zoals u kunt lezen, hebben we veel kennis opgedaan, die we als PrivacyO kunnen gebruiken om onze klanten nog beter te kunnen begeleiden met het GDPR-compliant worden. En omdat de Autoriteit Persoonsgegevens aangeeft dat ze vanaf 25 mei 2018 verwacht dat iedereen moet kunnen laten zien dat ze goed op weg zijn GDPR-compliant te worden, sporen we ondernemers en overheden aan hieraan tijdig invulling te geven.
Om maar eens een oude vertrouwde uit de kast te halen: voorkomen is beter dan genezen.
Hoi Marc,
Mooie samenvatting van de Summit. Om met de deur in huis vallen, ik vind de eerste bullet op zijn minst vreemd. Te meer omdat bedrijven en organisaties kregen twee jaar de tijd om accountable te zijn. Nu lijkt of ze nog eens extra (ongedefinieerde) tijd krijgen om zaken op orde te brengen. Tenslotte het enige wat een bedrijf moet aantonen is dat ze ermee bezig zijn, maar niet wanneer ze accountable moeten zijn. Overigens, ik vroeg me ook af of dit komt uit een AP functionaris (officiële statement) of is dat een aanname van de deelnemers/ sprekers?
Voor de rest vond ik het nuttig en in lijn met de verwachtingen van zo’n implementatie traject. Bedankt voor het delen.
Jack
Hallo Jack,
Deze informatie is afkomstig van een duitse en een franse AP. Beide gaven aan dat het realisme vereist dat men onder ogen ziet dat bovenstaande het enige echte haalbare is. Ik zelf ben het hiermee eens en heb dit ook meerdere keren aangegeven tijdens de opleiding i.e. dat kunnen laten zien dat je goed op weg bent op de korte termijn problemen zal voorkomen. Blijft natuurlijk de vraag wat ‘goed op weg zijn’ betekent.
Gr. Marc
Hallo Bas,
Kreeg via Boudewijn je vraag over:
“Voorkom dat ‘uncapped aansprakelijkheid’ en/of ‘compensatie verplichtingen’ voor aan derde opgelegde boetes worden opgenomen in verwerkingsovereenkomsten. ”
Het operatieve woord is inderdaad ‘uncapped’. In het bijzonder werd aangegeven dat opgelet moet worden dat in een verwerkingsovereenkomst de ene contractspartij de gevolgen (aansprakelijkheden; boetes) van haar onrechtmatig gedrag niet ongeclausuleerd/ niet gemaximeerd probeert te verleggen naar de andere bij de verwerkingsovereenkomst betrokken partij(en).