2018-06-01

AVG: een kans of bedreiging voor openheid?
Verslag van kennisbijeenkomst ‘AVG: wat moeten we ermee?’

Op 25 mei trad de Algemene verordening gegevensbescherming (AVG) in werking. Naar aanleiding van veel vragen over de raakvlakken van de AVG met Open Overheid organiseerde het Leer- en Expertisepunt Open Overheid op 28 mei de kennisbijeenkomst ‘AVG: wat moeten we ermee?’.

Na de opening door Marieke Schenk (coördinator van het Leer- en Expertisepunt Open Overheid) namen de sprekers de deelnemers mee langs verschillende aspecten van de AVG: van Functionaris Gegevensbescherming (FG) en het registratieregister tot open standaarden.

Wel of niet lunchen met de FG?
Met de komst van de AVG geldt vanaf 25 mei dezelfde privacywetgeving in de hele Europese Unie. Daarmee vervalt de Wet bescherming persoonsgegevens (Wbp). Joost Agterhoek deed tijdens zijn stage bij Internet Society Nederland onderzoek naar de AVG en publiceerde een artikel met zijn bevindingen.

Tijdens zijn presentatie benadrukte Joost dat er bij veel organisaties nog onduidelijkheid heerst over de nieuwe verplichtingen die de AVG met zich meebrengt. Ook zijn organisaties bang voor de financiële sancties die volgen als zij niet aan de AVG-richtlijnen voldoen. Die financiële sancties zijn tegelijkertijd ook een prikkel om alles op orde te brengen.

Organisaties lopen ook tegen andere uitdagingen aan. Datalekken moeten bijvoorbeeld binnen 72 uur gemeld moeten worden. Ook is een Functionaris Gegevensbescherming (FG) verplicht bij onder andere de zorg, overheid en bepaalde bedrijven. En die rol van FG roept de nodige vragen op: in hoeverre kun je onafhankelijk advies geven als je bij je collega’s in dezelfde ruimte zit en de dagelijkse gesprekken over persoonsgegevens opvangt? “Praktisch kan dit betekenen dat je in een andere ruimte werkt. Maar af en toe lunchen met een FG kan zeker geen kwaad”, aldus Joost.

Bekijk hier de presentatie van Joost Agterhoek voor meer informatie.

Dataregister
Wouter van der Veen (coördinerend dataspecialist bij BZK) ging vervolgens in op de registratievereisten van de AVG. Hoe stel je een informatieregister op volgens de richtlijnen van de AVG? Wouter lichtte toe hoe hij en zijn collega’s dat hebben aangepakt bij het BZK-register. In dit register wordt onder andere duidelijk opgeschreven met welk doel persoonsinformatie bewaard wordt.

Wouter deed daarnaast onderzoek naar welke verwerkingen van persoonsgegevens er plaatsvinden en stuitte hierbij soms op de nodige weerstand bij collega’s. Een voorbeeld: een lijstje met namen en e-mailadressen van secretarissen opslaan omdat je ze later nog een keer wilt benaderen mag toch wel? Ja, dat mag, maar het moet wel geregistreerd worden. Ook moet duidelijk zijn met welk doel je de gegevens wilt bewaren.

Bekijk hier de presentatie van Wouter van der Veen voor meer informatie.
 
Kans voor Open Standaarden
De AVG biedt een kans voor meer gebruik van open standaarden, aldus Désirée Castillo Gosker en Bart Knubben (Bureau Forum standaardisatie). Bijvoorbeeld voor het gebruik van open beveiligingsstandaarden. Websites hebben te maken met de verwerking en beveiliging van persoonsgegevens. Beveiligingsstandaarden als HTTPS en HSTS zorgen voor een beveiligde websiteverbinding en voorkomen afluisteren.

Daarnaast biedt de AVG ook transparantie voor burgers over wie welke informatie over je heeft, en heb je zelf de mogelijkheid jouw gegevens op te vragen of te laten verwijderen als je dat wenst. Naast de FG zijn we namelijk allemaal aan zet, aldus Désirée en Bart. Wat kun je zelf doen?
•Beveiliging door middel van open standaarden: test via Internet.nl, verbeter als verwerker je eigen voorzieningen en vraag leveranciers om deze zo nodig te verbeteren.
•Overdraagbaarheid: pas dit zelf als verwerker toe en vraag leveranciers om jouw persoonsgegevens in (interoperabel) gestructureerd, gangbaar en machine leesbaar formaat. Dit is bijvoorbeeld van belang als je van het ene digitale platform wilt overstappen naar een ander platform, en je gegevens wilt meenemen.

Bekijk de presentatie van Désirée Castillo Gosker en Bart Knubben voor meer informatie over de kansen die de AVG biedt voor open standaarden. Ook tref je in deze presentatie meer tips om veilig te e-mailen en veilig gebruik te maken van het internet.
 
UAVG en het recht op vergetelheid
Hoe zit het eigenlijk met de uitvoeringswet AVG? Dat was een van de onderwerpen die aan bod kwam tijdens de afsluitende Q&A. De uitvoeringswet AVG, ook wel UAVG, trad ook in werking op 25 mei. De UAVG zorgt ervoor dat organisaties als het CBS, UWV en AIVD gewoon hun werk kunnen blijven doen. Zij verwerken, met een duidelijk doel, veel persoonsgegevens.

Ook kwam het recht op vergetelheid aan de orde. Hoe zit het bijvoorbeeld met het recht op vergetelheid als je een Wob-verzoek indient. Je bevindt je hier op het snijvlak van verschillende domeinen: aan de ene kant het recht op openheid van overheidsinformatie en aan de andere kant een belang als privacy. Het kan nog weleens spannend worden op de snijvlakken van deze domeinen. Daarbij wordt vanuit de zaal terecht opgemerkt dat binnen de Wob privacy al beschermd wordt, ook voor de AVG al. Bij een Wob-verzoek worden persoonsgegevens nooit zomaar openbaar gemaakt.

Hoe spannend het wordt en welke uitdagingen de AVG met zich meebrengt zien we de komende tijd. Wil jij jouw ervaringen met de AVG en de raakvlakken met Open Overheid delen? Schrijf dan een blog voor open-overheid.nl. Wij zijn erg benieuwd naar jullie ervaringen!
Kom je ook naar de volgende Open Overheid bijeenkomst? Meld je dan aan voor de Open Overheid nieuwsbrief en blijf op de hoogte van al de bijeenkomsten.

Een langere versie van dit bericht verscheen eerder op open-overheid.nl.