Vanaf 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van toepassing en moeten alle organisaties die persoonsgegevens verwerken voldoen aan de eisen die deze Europese wet stelt. Voor overheidsinstanties gelden extra verplichtingen, maar zij zijn hierop onvoldoende voorbereid, stelt Jelmer Pieters, oprichter en managing director van DPO Consultancy.

Wat verandert er voor overheidsorganisaties met de komst van de AVG?

“De grootste verandering zit in alles wat een gegevensverwerkende organisatie moet doen om ervoor te zorgen dat zij het naleven van de privacyregels structureel waarborgt, en daarover ook rekenschap aflegt. Voor overheidsinstanties betekent dit onder meer dat zij verplicht zijn om een Data Protection Officer (DPO) in dienst te hebben of in te huren. Dat is begrijpelijk, want hoewel overheidsorganisaties altijd al zorgvuldig met data moesten omgaan, moeten er onder de AVG nieuwe processen geïmplementeerd worden die dit ook bewijzen. Dat is een omvangrijke taak die extra ingewikkeld wordt door het feit dat de AVG vooral principle-based is geformuleerd. Dat wil zeggen dat de regelgeving meer vanuit principes is opgesteld en in mindere mate in de vorm van concrete voorschriften. Organisaties zullen dus zelf concrete invulling moeten geven aan de vele open normen in de AVG. Dat vereist diepgaande kennis van deze nieuwe wet.”

Jelmer Pieters

Jelmer Pieters

Welke impact heeft dit op de bedrijfsvoering?

“Goed en zorgvuldig omgaan met persoonsgegevens vraagt om aanpassingen van vrijwel alle aspecten van de bedrijfsvoering. Dat vergt energie, tijd en geld. Met name dat laatste punt is voor organisaties belangrijk om bij stil te staan, omdat het implementeren van de nieuwe wetgeving hoge kosten met zich meebrengt. Zo is een bedrijf al snel 100.000 euro per jaar kwijt aan het aanstellen van een fulltime DPO. Daar komen nog de overige kosten bij van de technische en organisatorische maatregelen die genomen moeten worden om de wetgeving na te leven.

De volledige implementatie van de AVG moet dan ook opgenomen worden in de begroting, maar dat gebeurt zelden – ook niet binnen de overheid. Hierbij valt op dat de meeste overheidsinstanties ten onrechte denken dat het wel meevalt wat er voor de AVG allemaal aangepast moet worden in de eigen organisatie. De gedachte dat zij altijd al aan strenge wetgeving moesten voldoen op dit gebied en er dus weinig aanpassingen nodig zijn, is een misvatting. Bij veel overheidsorganisaties zijn wel degelijk verbeteringen nodig om te voldoen aan alle eisen die de AVG stelt. Eenmaal op orde verdienen alle inspanningen en kosten zich echter wel dubbel en dwars terug in de vorm van betere dienstverlening en per saldo lagere lasten.”

Wat kunnen jullie betekenen op dit gebied?

“Wij ondersteunen organisaties bij het compliant worden en blijven met de privacywet- en regelgeving. Dat doen we op verschillende manieren, zoals het verrichten van nulmetingen, het implementeren van de aanbevelingen die daaruit blijken en het ondersteunen van de verplichte Data Protection Impact Assessments. Men kan ook bij ons terecht voor advies, bijvoorbeeld over het terugverdienen van de niet-gebudgetteerde kosten. De markt heeft laten zien behoefte te hebben aan een combinatie van deskundige raad en daad. Die combinatie leveren wij dan ook.

In lijn daarmee hebben wij als eerste in Nederland het concept van DPO-as-a-service geïntroduceerd. Dit houdt in dat een organisatie de DPO-functie aan ons uitbesteedt. Met deze onafhankelijke, kundige DPO ontzorgen wij organisaties tegen betaalbare lasten. De AVG is nog maar het begin van meer uitgebreide en meer complexe wetgeving rondom privacy, dus het is belangrijk om niet achter de feiten aan te blijven lopen. Ook wij kunnen de toekomst niet voorspellen en door open te staan voor nieuwe inzichten en ontwikkelingen houden we onze kennis en kunde actueel voor de klant. Zo bieden we een zo goed mogelijke dienst, en daar is het ons uiteindelijk om te doen.”

Meer informatie
www.dpoconsultancy.nl
085-0711080