23-05-2018 / blog / Paul Oor

AVG; wat als onderzoek bewijs moet leveren?

Op de valreep voor 25 mei 2018 kom ik weer even terug op de Algemene Verordening Gegevensbescherming (AVG). Er speelt namelijk een tweetal belangrijke vragen. Gaat de AVG leiden tot meer onderzoeken en hebben we hier als Chief Security Officers voldoende kennis en ervaring voor?


We hebben allemaal wel eens verdachte of gewoon verkeerde situaties aan de hand gehad, en vervolgens aan een onderzoek meegewerkt of zelfs geleid. Dat was dan meestal intern en informeel, maar soms raakt het de wereld buiten het bedrijf en wordt het formeel, al dan niet in samenwerking met autoriteiten.


Sinds de Meldplicht Datalekken op 1 januari 2016 van kracht werd in Nederland, denk ik dat we in veel organisaties al meer ervaring hebben opgebouwd met onderzoeken rond verwerking van persoonsgegevens. Toch hoor ik nog weinig collega’s over hun werkwijze en ervaringen, terwijl ik verwacht dat de AVG meer gaat vragen van Chief Security Officers als het gaat om onderzoeken en bewijsvoering.


De AVG heeft de verhoudingen tussen organisaties die in ketens of netwerken persoonsgegevens verwerken op scherp gezet. Veel verwerkingen zijn inmiddels doorgelicht en geformaliseerd met Data Protection Assesments (DPIA), verwerkersovereenkomsten, registers van verwerkingen, datalekprocedures, etc. Dat is mooi, maar meestal dure overhead voor de reguliere bedrijfsprocessen. Als betrokkenen hun rechten gaan uitoefenen of als we worden geconfronteerd met een potentieel datalek, zijn we echt afhankelijk van de bedrijfsprocessen. Kun je dan bewijzen dat er toestemming is van de betrokkene als dat de ‘grondslag voor de verwerking’ was? Kun je aantonen dat persoonsgegevens echt overal zijn aangepast, verwijderd en niet zijn gelekt?    

 

De bewijspositie van de organisatie?

De bewijspositie van organisaties als het gaat om verwerking van persoonsgegevens moet worden geïntegreerd in de reguliere bedrijfsprocessen en IT; ook dat is privacy by design. Dat moet het liefst geautomatiseerd en voorzien van professionele audittrails, zodat ad hoc speurtochten en onderzoeken overbodig zijn. Veel organisaties zijn nog niet zover met deze digitale transformatie. Daarom zullen de komende tijd de directie, de Functionaris voor de Gegevensbescherming (FG) of legal regelmatig een beroep doen op Chief Security Officers en hun teams om via onderzoek voldoende bewijs boven tafel te krijgen, vooral als het gaat om datalekken.


Als Chief Security Officers zullen we onze vaardigheid om in complexe organisaties, samenwerkingsverbanden en processen bewijs te vinden en veilig te stellen vaker nodig hebben! Directies en FG’s hebben zelf ook een belangrijke rol; zij moeten de Chief Security Officer voldoende mandaat en middelen geven en vooral de onderzoeksopdracht goed formuleren. Voor hen is dit echter (nog) geen dagelijks werk, dus ook daar zullen we als Chief Security Officers mee moeten helpen. Verwachtingenmanagement speelt daarbij een belangrijke rol; meestal zijn dit soort onderzoeken belangrijk, urgent en extreem tijdrovend. Begin daarom met het vaststellen of het wel handig en passend is dat de Chief Security Officer en zijn team deze onderzoeken trekken, of andere specialisten, in –of extern, daarvoor ingezet moeten worden; bijvoorbeeld de interne controle afdeling, een auditor of een forensisch accountant.


Samenwerking met juristen – ik heb daar al eerder voor gepleit - kan enorm helpen. Los van verwachtingen van toezichthouders, betrokkenen of de directie, kunnen juristen beoordelen of de opdracht en het onderzoek proportioneel zijn en of de bewijspositie vanuit juridisch perspectief voldoende is. Doorschieten in tijd en omvang van het onderzoek is anders echt een risico.


Over de praktijk van zo’n onderzoek meer in mijn volgende en tevens laatste blog van deze reeks!