Verschillende Europese toezichthouders hebben ter voorbereiding op de Europese Privacywetgeving, de Algemene Verordening Gegevensbescherming (de AVG), een stappenplan opgesteld. Ik heb de stappenplannen van onze buurlanden verzameld en naast elkaar gezet. Groot Brittannië staat op het punt de EU te verlaten, maar heeft wel aangekondigd deze Europese Privacywetgeving te gaan invoeren. Een complete beschrijving van de stappenplannen kunt u vinden op de websites van de toezichthoudende autoriteiten. In deze blog deel ik enkele persoonlijke bevindingen.
Bewustwording
Wat opvalt is dat bewustwording in Nederland, België en Groot Brittannië op nummer één staat. Draagvlak creëren bij de beleidsmakers en andere sleutelfiguren. Zij moeten een inschatting geven wat de impact is van de Europese Privacywetgeving op hun organisatie. Daar hoort ook bij het verstrekken van middelen (geld en tijd) om alle voorbereidingen te kunnen treffen. Één groot gemis in de stappenplannen vind ik de training en bewustwording van de medewerkers. In het Franse stappenplan zie ik dit wel terugkomen.
Positie van personen
Personen van wie de persoonsgegevens worden verwerkt worden betrokkenen genoemd. In Nederland staan de rechten van deze personen als 2e stap. De autoriteit doelt hier o.a. op het recht op:
- Inzage van persoonsgegevens;
- Correctie van persoonsgegevens;
- Verwijdering van persoonsgegevens;
- “Dataportabiliteit”. Dit betekent het meenemen van persoonsgegevens naar een andere aanbieder;
België en Groot Brittannië hebben bovenstaande stappen gesplitst. Dit betekent, dat de rechten van deze personen bijzonder zwaar wegen in deze privacywetgeving. Daarnaast is er uitgebreid aandacht voor toestemming van betrokkenen. Aan deze toestemming wordt ook verschillende eisen gesteld. Hier kom ik in een andere blog op terug.
Stappenplan AVG Frankrijk
De stappenplannen van België en Groot Brittannië lijken erg veel op elkaar. Is er sprake van samenwerken of gewoon slim kopiëren? Nederland voegt bepaalde stappen samen, die bij België en Groot Brittannië weer in aparte stappen wordt beschreven. Frankrijk kiest een totaal andere insteek:
- Zij stellen eerst een privacy ambassadeur aan;
- Vervolgens vindt een 1e inventarisatie van gegevensverwerkingen plaats;
- Aan de hand van deze inventarisatie wordt vastgesteld welke acties nodig zijn ;
- Indien er sprake is van een “hoog risico” dan wordt een PIA (Privacy Impact Assessment) uitgevoerd;
- De bevindingen uit voorgaande stappen worden in de interne processen doorgevoerd.
Hier wordt verwezen naar het toepassen van Privacy by Design, trainen van de medewerkers, rechten van betrokkenen beschikbaar stellen en anticiperen op de meldplicht datalekken; - Tot slot: het verzorgen van verplichte documentatie.
In mijn ogen is het Franse stappenplan meer gericht op de Deming Cirkel (Plan – Do – Check – Act). In de Privacywetgeving wordt benadrukt deze methode toe te passen. De achterliggende gedachte is dat een organisatie plannen opstelt (Plan). Deze vervolgens gaat uitvoeren (Do). Er op toeziet dat de gemaakte afspraken worden nageleefd (Check). Vervolgens gaat evalueren en weer bijsturen (Act). De cirkel is daarmee rond.
Overzicht stappenplannen
Een overzicht van de stappenplannen van deze landen kunt u hier downloaden. De stappenplannen zijn slechts een hulpmiddel om uw organisatie voor te bereiden op de privacywetgeving.
Uw privacy adviseur on demand
Als privacy adviseur kan ik u helpen privacy proof te worden. Wilt u meer weten, neem dat gerust contact met mij op.
