Vanuit de bedrijvenverenigingen Zuidoost, WEST en VBNO heeft op 11 juli onder de paraplu van BBOG* een bijeenkomst plaatsgevonden over de gevolgen van de AVG.
In duo-presentatie namen Tessa Vollbehr van BENK advocaten en Henk Bol van Bol ICT de deelnemers mee in de wondere wereld van de gegevensverwerking. Het is duidelijk dat er wel een nieuwe wind waait in de omgang met gegevens maar helemaal nieuw is het ook weer niet. Ook vóór 25 mei jl. gold er privacyregelgeving maar zijn we ons daar minder van bewust geweest. De Europese regelgeving zet een tand zwaarder aan; de Nederlandse wetgever heeft dit inmiddels in de eigen wetgeving verankerd.
Tessa Vollbehr toont met een afschrikwekkend voorbeeld waartoe gesystematiseerde en geordende gegevensverwerking zonder bescherming kan leiden. Dankzij de geordende bevolkingsregistratie heeft de bezetter in de laatste wereldoorlog heel nauwkeurig kunnen achterhalen wie met welke etniciteit waar woonde en welke familieverbanden er lagen. Er zijn drie soorten persoonsgegevens: gewoon, bijzonder (ras, godsdienst enz.), en strafrechtelijk. Gewoon is heel gewoon en gaat vaak over ledenbestanden van verenigingen, bestanden voor het verzenden van nieuwsbrieven enz. . Bijzonder spreekt eigenlijk wel voor zichzelf en dat geldt ook voor strafrechtelijke gegevens. De vraag die je je altijd moet stellen is: waarom en waarvoor verwerk ik gegevens. Dan heb je het over de grondslag voor het verwerken. En als die er is, vloeien daar vanzelf wel acties uit voort: beleid, een register en eventueel een verwerkingsovereenkomst. Overheden hebben om begrijpelijke redenen verschillende grondslagen voor het verwerken van gegevens, ook al zou je zelf soms liever niet willen dat de overheid jouw gegevens verwerkt. In het normale verkeer tussen personen, instellingen en bedrijven volstaat de grondslag ‘toestemming’. Een verwerkingsregister is niet perse noodzakelijk maar in de praktijk blijkt dat je er niet onder uitkomt bijvoorbeeld omdat de verwerking van gegevens structureel is.
Henk Bol geeft in drie ‘bollen’ heel simpel aan waar het bij de gegevensverwerking om draait. Wees je bewust van het feit dat je met gegevens over personen en instellingen werkt en ga er zorgvuldig mee om (Awareness). Het klinkt misschien bureaucratisch maar toch: leg vast hoe je er mee omgaat ook procedureel (Beleid en procedures). Met de enorme vlucht van de digitale wereld liggen veel gegevens ergens in de ‘cloud’ en een beetje handige internetter heeft al heel snel toegang tot al die gegevens, al was het alleen maar vanwege een ‘onbeschermde’ printer die via draad of draadloos met een netwerk is verbonden. Zo kom je via een apparaat of infrastructuur heel gemakkelijk bij privacygevoelige gegevens (Applicaties en infrastructuur).
De opkomst voor de bijeenkomst had misschien hoger mogen zijn, de kwaliteit was echter hoog. Aandachtig gehoor met veel vragen en opmerkingen waarop door de beide inleiders zeer adequaat is gereageerd. Een nuttige bijeenkomst.
*BBOG staat voor de Stichting Bedrijfsbeveiliging Omgeving Groningen. De stichting heeft (statutair) als doel om voorkomende criminaliteit terug te dringen in een samenwerkingsverband tussen gemeente, politie en bedrijvenverenigingen. Zij ontplooit activiteiten die betrekking hebben op criminaliteitspreventie, beveiliging en veiligheidszorg.
