Arnoud Engelfriet, ICTRecht: “Drukte rond AVG/GDPR moet nog beginnen”

Lorenz van Gool

De AVG/GDPR is in werking en dat heeft iedereen geweten ook. Op DHPA TechFest, aan de vooravond van de beruchte datum 25 mei, zagen we de kans om ICT-jurist Arnoud Engelfriet van ICTRecht aan de tand te voelen over deze wetgeving. Lees zijn ervaringen en tips en doe er je voordeel mee!

Hoe druk heb je het wel niet gehad?

“We hebben het heel druk gehad met de AVG, zo hebben we zes mensen in twee maanden tijd aangenomen om te kunnen voldoen aan vragen over de AVG. Je moet alle klanten doorlichten, nieuwe contracten opstellen en privacy checken. We hebben nog nooit zoveel partnerships gehad met partijen. Het maakt buitengewoon veel los. En dat is ook wel terecht, want het is een fundamentele verandering.”

We hebben het idee dat je het nog wel drukker gaat krijgen…

“Dat klopt, de ergste drukte moet nog beginnen. Iedereen heeft zijn sprintje getrokken om tegen de bühne te kunnen zeggen dat ze compliant zijn. Maar nu gaan mensen echt ontdekken wat ‘compliant zijn’ echt betekent.”

Wat gaat er dan gebeuren?

“Mensen gaan hun rechten uitoefenen en willen inzage in hun dossier. Op papier kan je zeggen dat je daar klaar voor bent. Maar heb je 1500 klanten die dat willen doen: dan moet je 1500 keer aan de bak en moet je misschien wel een systeem gaan bouwen. En als er boetes aankomen, gaat iedereen zich ook rot schrikken. De toezichthouder kan namelijk ook aanmaningsbrieven sturen, en vragen hoe je register eruit ziet. Daar moeten bedrijven ook op voorbereid zijn.”

Wat is nou dé misvatting rond de AVG?

“Dat er iets nieuws aan komt. Ongeveer 80 procent van de AVG/GDPR bestaat al onder de Wet bescherming persoonsgegevens (Wbp). Het is allemaal net even wat strakker. Je kon al veel eerder je dossier opeisen – maar dan met je handen op de rug en bij wijze van spreken 4,95 euro per keer betalend. Nu is het gratis en heb je gewoon recht op een kopie. Daar is wel wat veranderd.”

Lees ook: GDPR: misvattingen uit de wandelgangen

“En dat je toestemming moet hebben, was altijd al een belangrijke regel. Organisaties die al goed met persoonsgegevens om konden gaan onder de Wbp, hebben niet veel te vrezen van de AVG. Maar omdat de Wbp zo’n 15 jaar lang nooit echt goed gehandhaafd is, en er ook geen boetes bestonden, hebben heel veel mensen dat niet gedaan. Zeker in de ICT: mensen hebben veel geleund op wat ze in Amerika deden qua privacy. Daar heeft iedereen een privacy verklaring en opt-in voor de nieuwsbrief – en dat is het dan. Als dat het niveau van privacykennis is… dan moet je ineens hard gaan lopen.”

Hoe zouden bedrijven die achterlopen, in één dag dichterbij compliancy kunnen zijn?

Arnoud Engelfriet“Pak je privacyverklaring en herschrijf die in taal die je oma begrijpt. De AVG zegt namelijk dat je in gewone taal moet uitleggen wat je gaat doen. Dus: Dit doe ik. Zolang bewaar ik mijn gegevens. En ik mag dit, want: ik heb om toestemming gevraagd, ik heb contact met jou, ik ben dat wettelijk verplicht, ik heb een eigen belang – en ik maak een privacy-afweging.” Het is even zweten, maar als je dat doet, ben je al een heel eind. Je komt dan al aan je registerplicht, want je hebt net opgeschreven wat je allemaal deed.

“Zet ook even in Excel alle formele punten op een rijtje en bedenk waar je toestemming moet vragen. Mag of kan dat ergens niet? Dan kan je daar mee stoppen.”

Je deelt sinds 2007 je kennis op je blog Ius Mentis. Hoe belangrijk is dat eigenlijk?

“Het delen van kennis is essentieel voor het succes van Ius Mentis en mijn bedrijf. Omdat je je neerzet als een partij die betrouwbaar is en die ook deelneemt aan de community. Dat levert respect op van mensen. Ze zijn nu gewend dat als je een vraag stelt, je ook antwoord krijgt. In de juridische wereld is dat een stuk minder gebruiker dan normaal, dus daar kon ik het verschil maken.”

Het zijn wel complexe onderwerpen, helemaal als je het over IT hebt. Hoe maak je zo’n onderwerp behapbaar voor zoveel mogelijk mensen?

“Probeer het in gewone taal uit te leggen. Iedereen heeft daar wel de mond vol van, maar je moet het wel even verzinnen en opschrijven. Ook helpt het wel als je enige technische kennis hebt, en bereid bent die kennis bij te blijven houden. Ik geef meteen toe: ik studeerde af op Informatica in 1999, toen bits nog van hout waren. Dan loop je nu ver achter, maar als je continu bezig bent met de vraag ‘ hoe werkt het nou echt?’, dan zit je goed. Luister ook naar mensen die uitleg willen geven en wees niet bang fouten toe te geven. Over het algemeen geldt dat, als je iets niet weet, dat slechte experts zeggen dat ze het wel weten of het niet hoeven te weten. Goede experts geven dat juist toe en luisteren: ‘vertel, hoe zit het dan wel?’”

De GDPR-tips van Arnoud Engelfriet op een rijtje

  • Denk niet dat je nu klaar bent met het versturen van een mailtje over je nieuwsbrief en je privacy policy. Dit was altijd al belangrijk. Nu gaat het pas echt beginnen.
  • Schrijf je privacyverklaring in heldere taal, dan ben je al een heel eind.
  • Zet alle plaatsen waar je toestemming moet vragen op een rijtje. Bekijk per punt waar en hoe je dat kan uitvoeren. Kan dat niet? Schrappen die handel.

Blogtips voor je bedrijf

  • Deel je kennis, dat is essentieel voor de positie van je merk.
  • Wederom: schrijf in gewone taal bij complexe materie.
  • Houd je kennis bij en wees bereid ook naar anderen te luisteren.