Iedereen verplicht een privacy officer in dienst? Helemaal niet nodig

De tijd begint te dringen. Op 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend als GDPR) in werking. Dat de nieuwe privacywetgeving eraan zit te komen, is al een tijdje (twee jaar) bekend. Je mag veronderstellen dat organisaties onderhand weten wat ze te doen staat. De werkelijkheid is anders. Diverse onderzoeken, zoals hier en hier, tonen aan dat er nog veel moet gebeuren voordat Nederlandse organisaties klaar zijn voor AVG.
 

Dat is geen onwil, er is vooral veel onduidelijkheid, weet Esther van de Bovenkamp, DDMA’s programmamanager non-profit en onderzoek: ‘We krijgen veel telefoontjes van bedrijven en organisaties die zich willen verdiepen in AVG en online op zoek gaan naar informatie. Het vervelende is dat ze daar tegenstrijdige informatie tegenkomen. Op internet is veel goede, maar ook heel veel slechte informatie te vinden, met soms verbazingwekkende conclusies.’
 

Als gevolg zijn veel ondernemers in verwarring. ‘En het laatste wat je wilt, is verwarring,’ vervolgt DDMA-directeur Diana Janssen: ‘Wij waarschuwen al een paar jaar dat deze wet eraan komt. Nu de datum voor implementatie vlakbij is, wil je niet tot de ontdekking komen dat je al die tijd bezig bent geweest om je organisatie in te richten op basis van verkeerde informatie.’

Wildgroei aan privacy-experts

Een van de belangrijkste veroorzakers van desinformatie over dit onderwerp, is de wildgroei aan privacy-experts die zich – vaak zonder dat zij beschikken over een juridische of compliance-achtergrond – op de AVG hebben gestort. De tegenstrijdige informatie die zij verspreiden, maakt het voor ondernemers onnodig lastig om met de AVG aan de slag te gaan. ‘Dat is gevaarlijk. Deze nieuwe wet heeft namelijk gevolgen voor alle organisaties die data inzetten voor marketingdoeleinden. Het is dus zeer belangrijk dat mensen weten wat wel en niet klopt.’
 

Maar hoe kom je erachter of je te maken hebt met een bonafide privacy-expert? Dat is niet eenvoudig, want het is geen beschermd beroep, zoals advocaat of notaris. Iedereen kan zich in principe privacy-expert noemen.
 

Naast dat het onmogelijk is om in kaart te brengen hoeveel privacy-experts momenteel actief zijn, is er ook geen toetsing van de functie. Dat is best een probleem, weet DDMA’s juridisch expert Matthias de Bruyne, omdat veel organisaties vanwege de AVG wel verplicht worden een Data Privacy Officer (DPO) in dienst te nemen. Dan is het merkwaardig dat er geen instantie bestaat die de geschiktheid van de functionaris toetst.
 

Jansen laat doorschemeren dat DDMA hier een rol in wil spelen. Al is het nog te vroeg om daarover in detail te gaan. ‘Er zitten haken en ogen aan,’ zegt ze. ‘Maar we voelen de verantwoordelijkheid om te zien of we dit kunnen oppakken.’
 

Bedrijven die zich afvragen welke kwaliteiten een DPO in huis moet hebben, zijn al behoorlijk ver gevorderd met de implementatie van de AVG. De realiteit is dat nog maar weinigen zover zijn. De meeste vragen die DDMA krijgt voorgelegd, zitten op een veel meer basaal niveau. Voor de gemiddelde ondernemer is het niet gemakkelijk om erachter te komen wat klopt en wat niet, weet De Bruyne: 'Het gaat over complexe materie. En de AVG zelf leest nu eenmaal niet echt lekker weg.’
 

Om informatie op een laagdrempelige manier aan te bieden, is DDMA deze maand de 'mythbuster'-campagne begonnen. Doel van de campagne is twijfels weg te nemen over de nieuwe privacywetgeving, door tot aan deadline van 25 mei (de definitieve datum waarop de handhaving start) iedere dag een mythe uit de weg te ruimen die in de markt leeft over de wetgeving.

Verwarring AVG en e-privacy

Een van de mythes die de campagne aanpakt, is dat voor het gebruik van data voor marketing in alle gevallen opnieuw toestemming moet worden gevraagd. ‘Een misvatting’, weet De Bruyne. Hij vermoedt dat deze voortkomt uit het feit dat de vertreksituatie voor de implementatie van de Europese GDPR-regels (de Engelse benaming van de AVG) van land tot land verschilt. Zo was het in sommige landen (bijvoorbeeld in Engeland) gebruikelijk om nieuwsbriefinschrijvingen te vergaren door vooraf het opt-in hokje aan te vinken. ‘Dat mocht eigenlijk niet, maar de Engelse toezichthouder was niet zo streng als in Nederland. Dat gaat veranderen, nu in alle lidstaten precies dezelfde regels gelden. Maar als je op die manier je opt-ins hebt verzameld, moet je inderdaad opnieuw aan het werk. De kans is dus kleiner dat deze situatie zich in Nederland voordoet, omdat er al op werd gecontroleerd.’
 

Wat hier ook meespeelt, vermoedt De Bruyne, is dat veel mensen de AVG regels verhaspelen met de e-privacy Verordening, die naar verwachting eind dit jaar of begin 2019 wordt ingevoerd. Waar de AVG betrekking heeft op opslag, gebruik en verwerking van persoonsgegevens, regelt de e-privacy Verordening de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De verordening komt dus in plaats van de Telecommunicatiewet.
 

‘Mensen gooien alles op een hoop,’ constateert Janssen. ‘Zo zou het niet langer zijn toegestaan om mail te sturen aan klanten, zonder voorafgaande toestemming. Maar dat wordt helemaal niet geregeld in de AVG. Het is wel één van de zaken die in de E-privacy Verordening worden geregeld, net als het gebruik van cookies. (Zoals het wetsvoorstel er nu uitziet, komen de beruchte cookiewalls met de E-privacy Verordening te vervallen. Het is de bedoeling dat men via de browser toestemming gaat geven, geheel opt-in of opt-out, RB.) Voor veel mensen is het niet duidelijk waar de AVG eindigt en e-privacy begint.’

Hoe zit het met de verplichte DPO?

En zo zijn er meer mythes. Zoals dat ieder bedrijf dat klantdata vergaart, verplicht zou zijn om een DPO te benoemen. Klopt niet, die verplichting geldt alleen voor::

De Bruyne: ‘Vooral de laatste categorie is voor onze sector relevant. Dan moet je denken aan online tracking, loyalty programma’s en profilering. Waarbij de AVG op dit moment overigens nog in het midden laat wat dan precies wordt verstaan onder ‘grootschalig’.’

 

Een veel gehoorde misvatting is ook dat AVG alleen van toepassing is op digitaal opgeslagen klantgegevens. Ook data die op papier staan, vallen onder de wet.

Veel blijft hetzelfde

Hoe verwarrend het allemaal mag lijken, in de kern is het allemaal niet zo ingewikkeld, stelt Janssen: ‘Veel mensen denken dat alles gaat veranderen. Maar heel veel blijft hetzelfde.’

 

De Bruyne vult aan: ‘80% van wat al in de wet Bescherming Persoonsgegevens staat, vind je ook terug in de AVG.’ Al kan het geen kwaad om naar aanleiding van de AVG serieus de manier van datavergaren en gebruik onder de loep te nemen. Daar ligt ook het belangrijkste positieve effect van de nieuwe privacywetgeving. Bedrijven kijken kritisch naar hoe ze omgaan met persoonsgegevens. En stuiten daarbij soms op zaken die handiger en beter kunnen.

 

Bovendien draagt AVG bij aan vergroting van het besef dat bedrijven die veel met data werken, een sterke verantwoordelijkheid hebben ten aanzien van de mensen op wie die data betrekking hebben. Dat betekent wat Janssen betreft ook dat die bedrijven de verplichting hebben om mensen aan te stellen die die verantwoording dragen. 'Net zoals je een accountant nodig hebt, als je met veel geld omgaat.’

 

Over de mythbuster campagne
In de strijd tegen mythes die in het bedrijfsleven rondwaren zal DDMA tot 25 mei elke dag een AVG-mythe uit de wereld helpen. Daarnaast is een AVG-hulplijn in het leven geroepen waar organisaties terecht kunnen met vragen over de AVG bij datagebruik in marketing. Leden hebben verder de mogelijkheid om publicaties van DDMA over de AVG te downloaden. Tot slot heeft de branchevereniging diverse bijeenkomsten gepland, waarbij zowel op sectorniveau (o.a. retail, uitgevers, banken en NGO’s) en kanaalniveau (o.a. e-mail en telemarketing) kennis wordt gedeeld.