Ons team aan het woord over de AVG: GEB, gedragscodes en certificering
De AVG staat centraal in het werk van ons team. Dit betekent dat we er iedere dag mee werken, de teksten analyseren, de verplichtingen willen doorgronden en deze met name willen vertalen naar praktische handvatten voor onze klanten. Met welk artikel werken onze collega’s het liefst? Hoe helpen we onze klanten om het artikel te implementeren? In deze blogreeks is ons team aan het woord, elk over één artikel in het bijzonder. Vandaag staat de blogreeks in het kader van de beginselen van de gegevensbeschermingseffectbeoordeling, de gedragscodes en certificering!
Iris
Organisaties hebben de verplichting om een groot onderzoek te doen naar een nieuwe verwerking van persoonsgegevens, wanneer de inschatting is dat deze verwerking waarschijnlijk een hoog risico betekent voor de betrokkenen. Dit wordt een gegevensbeschermingseffectbeoordeling (afgekort: GEB, of Data Protection Impact Assessment, afgekort: DPIA) genoemd. Het is een beoordeling van risico’s van een nieuwe verwerking van persoonsgegevens. Net zoals dat men in het ziekenhuis health and safety checks doet voordat er onderzoek wordt gedaan met mensen, moet voorafgaand aan de start van een verwerking van persoonsgegevens een risico inschatting gedaan worden. Hoofdvraag: wat zijn de gevolgen van deze nieuwe verwerking voor de persoonlijke levenssfeer van de mensen over wie de gegevens gaan? In dit onderzoek beschrijft de verwerkingsverantwoordelijke wat de verwerking inhoudt, wat de risico’s daarvan zijn voor de rechten en vrijheden van betrokkenen en welke maatregelen genomen worden om die risico’s aan te pakken. Over dit onderzoek schrijft Iris het volgende:
“Artikel 35 is mijn favoriete artikel omdat het woord “gegevensbeschermingseffectbeoordeling” niet alleen geweldig scoort met Scrabble, maar ook omdat een dergelijke ontwikkeling om een andere mind-set vraagt van organisaties die werken met persoonsgegevens. Er moet actief nagedacht worden over impact en op die manier lijkt het verwerken van gegevens een stuk minder abstract. Zo zit de betrokkene als het ware zelf aan de tafel waar beslissingen worden gemaakt. Een GEB zorgt ervoor dat er actief nagedacht wordt over de juridische én ethische kanten van privacy, waardoor gegevensbescherming een centraal onderwerp wordt binnen organisaties.”
Frank
Om ervoor te zorgen dat de verplichtingen uit de AVG worden nageleefd, zijn er een aantal bepalingen opgenomen om dit uit te kunnen voeren. Denk bijvoorbeeld aan de Functionaris voor de gegevensbescherming en de Autoriteit Persoonsgegevens. Daarnaast kunnen organisaties gebruikmaken van gedragscodes en certificering. Frank vertelt hier graag iets over:
“De artikelen 40 tot en met 42 AVG gaan over gedragscodes en certificering. En daarmee over de naleving van de privacyregels, in aanvulling op het reguliere toezicht. Officiële certificering is een nieuw onderdeel en ook de vereisten die aan gedragscodes worden gesteld gaan verder dan onder de eerdere wetgeving. Het wordt zeer interessant om te zien of deze mechanismen een belangrijk onderdeel worden van de naleving door ondernemingen. Als dat op een goede manier gebeurt kan het een mooi middel zijn om de transparantie te geven en de betrouwbaarheid door de consumenten/burgers te vergroten.”
Dit was alweer de laatste blog in deze reeks over de artikelen waar wij als team graag iets over willen vertellen aan jullie. Natuurlijk is er nog genoeg te vertellen over alle andere artikelen, maar dat zullen we gebruiken voor nieuwe blogs!