25 mei ging de Algemene Verordening Gegevensbescherming (AVG) van kracht. Groot nieuws in de media, maar privacy coördinator bij Logius Odette Bies en Wouter Diephuis, werkzaam bij de beleidsopdrachtgever van Logius (DIO), schrikken er niet van. ‘Voor wie zijn privacybescherming volgens de huidige wetgeving op orde heeft, is de verandering niet zo groot.’

De huidige Nederlandse privacywetgeving (Wbp) is op 25 mei ingetrokken. Daarvoor in de plaats is de Algemene Verordening Gegevensbescherming (AVG). De AVG verandert voor Logius niet iets wezenlijks, vertelt Bies. ‘We waren ons altijd al erg bewust van de privacywet en in grote lijnen blijft de wet hetzelfde.’ Diephuis: ‘Als je nu hele grote inhaalslagen te maken hebt, komt dat niet door de AVG, maar omdat je het voorheen al niet op orde had.’

De veranderingen

Een paar punten zorgen ervoor dat Logius procesmatige aanpassingen heeft gedaan. De versterking in rechten van consumenten, zoals het recht op transparantie, vraagt om wat aanpassingen. Maar vooral de verantwoordingsplicht vraagt om extra administratie.

De verantwoordingsplicht betekent dat Logius te allen tijde moet kunnen laten zien dat de organisatie behoorlijk en zorgvuldig omgaat met persoonsgegevens. Diephuis: ‘Als een toezichthouder vraagt hoe we met een bepaalde gegevensverwerking omgaan, moeten we dat meteen aan kunnen tonen.’

Wouter en Odette

Privacy in het systeem

Om op deze nieuwe eisen te anticiperen, heeft Logius een ‘privacytoolkit’ samengesteld. Bies werkte daaraan mee. De toolkit bestaat uit privacybeleid, een checklist AVG inclusief werkinstructies en een jaarlijks privacy self assessment. De privacytoolkit zorgt ervoor dat medewerkers de nieuwe wetgeving kunnen duiden, en aantoonbaar en op de juiste manier met privacyveiligheid omgaan. Ook procedures staan erin. ‘Bijvoorbeeld de procedure om uitvoering te geven aan het recht van burgers om in te zien welke persoonsgegevens Logius van ze heeft. En de procedure meldplicht datalekken.’

Privacytoolkit

Een van de onderdelen van de privacytoolkit is het privacybeleid. Dit document biedt Logius-medewerkers inzicht in de verschillende verantwoordelijkheden die de AVG onderscheidt en in de taken en bevoegdheden waarmee Logius hieraan uitvoering geeft. De andere twee onderdelen van de toolkit zijn methodieken en instrumenten waarmee de medewerkers kunnen vastleggen hoe zij voldoen aan de voorwaarden die de privacywet- en regelgeving aan een rechtmatige verwerking van persoonsgegevens stelt.

Checklist AVG

Bij elke wijziging op een product of dienst, vullen Logius-medewerkers de checklist AVG in. Bies: ‘Daarmee kunnen we precies zien welke privacyimpact de wijziging heeft en toetsen we of we maatregelen moeten nemen. Privacybescherming moet namelijk aantoonbaar meegroeien. Hoe groot of klein de wijziging ook is.’ De checklist wordt altijd ingevuld, als onderdeel van het standaard change process.

Jaarlijks self assessment

Als extra check heeft Logius ook een jaarlijks self assessment ingesteld. Jaarlijks gaan de verantwoordelijken voor ieder product of dienst van Logius na of ze nog steeds aan alle privacyeisen voldoen. Bies: ‘Dat is niet verplicht vanuit de AVG, maar vonden wij een goede aanvulling.’ Als het goed is slechts een kwestie van afvinken, omdat tussentijds de checklist AVG voor elk product wordt bijgehouden.

"Privacy moet bij iedereen tussen de oren zitten, het moet een samenwerking zijn."

Constant bewust

Als 25 mei achter de rug is, moeten medewerkers niet denken: ‘check, dat is klaar’, geeft Bies aan. Na die datum zal ze aan het bewustzijn bij medewerkers blijven werken. Bijvoorbeeld door workshops. Diephuis: ‘Privacybescherming zit gewoon in de processen gebakken, maar het naleven van de AVG moet niet alleen een administratief, juridisch of technisch feestje zijn. Privacy moet bij iedereen goed tussen de oren zitten en een samenwerking zijn.’