PODCAST FIT4PRIVACY – de AVG in één woord – met Peter Berghmans

Naar aanleiding van 3 jaar AVG organiseerde FIT4PRIVACY een podcast met onze CEO Peter Berghmans. Samen met de gastheer, Punit Bhatia, voerden de 2 experten een open gesprek over de voordelen en uitdagingen van de AVG vanuit organisatorisch, regelgevend en consumentenperspectief en hoe Peter privacy de komende 3-5 jaar ziet evolueren.

Hieronder vind je een korte samenvatting van hun gesprek.

Luister je ook graag naar de podcast? Dat kan via deze link:

A Special on GDPR at 3 with Peter Berghmans (Full Episode) – The FIT4PRIVACY Podcast – YouTube

“AVG is immatuur”

Experten hebben reeds vele malen geprobeerd om de AVG in één woord te vatten maar voor Peter Berghmans is het buzz woord hier echter “onvolwassenheid”. Dit hoeft niet noodzakelijk een negatieve bijklank te hebben, wel integendeel: onvolwassenheid betekent dat het nog kan en zal groeien, dat we er nog aan kunnen werken en dat we de gehele AVG als een uitdaging moeten zien.

Volgens Peter staan we vandaag voor de AVG op het punt waar we voor informatieveiligheid stonden in het jaar 2000: “we weten dat het een belangrijke materie is, we proberen betrokkenheid te creëren bij werknemers en management en we proberen te begrijpen hoe het werkt; we beginnen stilaan te beseffen dat de AVG belangrijk is maar weten nog niet hoe we dit allemaal correct moeten implementeren.” zegt Peter.

“AVG staat op de agenda van het management”

Vóór 2018 was het volgens Peter, die in die periode actief was als veiligheidsconsulent, aartsmoeilijk om voor gegevensbescherming de aandacht te krijgen van de CEO, Raad van Beheer of zelfs de werknemers in een bedrijf en hen te zeggen wat ze moesten en niet mochten doen. Dankzij de AVG krijgt een DPO nu wél de nodige aandacht. Wanneer er een datalek optreedt zal de directie sneller zeggen: “ok, we moeten de Toezichthouder verwittigen”. Voorheen was dit gewoon ondenkbaar en werden datalekken simpelweg niet gerapporteerd. Er is dus zeker sprake van een cultuurverandering. Ook mede door de oprichting van nieuwe gegevensbeschermingsautoriteiten in de verschillende Europese landen en de soms torenhoge boetes is de bereidheid om met de autoriteiten samen te werken enorm gestegen.

“Het toezicht is nog niet op kruissnelheid”

De eerder vermelde onvolwassenheid van de AVG geldt volgens Peter zeker voor de toezichthouders. Er wordt weliswaar hard gewerkt maar te veel beslissingen worden aangevochten. De toezichthouders kampen bovendien in veel landen met een tekort aan mensen.

Vanuit het standpunt van de DPO is er zeker een gebrek aan voldoende ondersteuning door de toezichthouder, hoewel er inspanningen worden geleverd op dat vlak. De functie van DPO is immers nieuw en vele DPO’s worstelen met vragen die ze graag met de toezichthouder zouden delen.

In de praktijk is er langs de andere kant ook veel aarzeling om vragen te stellen aan de GBA of een datalek te melden. “Wanneer men met de wagen per ongeluk door het rode licht rijdt zal men ook niet snel geneigd zijn om dit spontaan aan de politie te melden” lacht Peter.

“Maak de betrokkene bewuster”

De AVG is een krachtige tool vindt Peter maar is ook een tweesnijdend zwaard. Wanneer een betrokkene het niet eens is met een bepaalde organisatie kan hij door het misbruiken van zijn rechten deze organisatie het leven best zuur maken. Ook hier moeten we dus uit onze onvolwassenheid groeien en de betrokkene beter begeleiden.

Als DPO in de ziekenhuiswereld ziet Peter als geen ander hoe de AVG vaak misbegrepen wordt. Zo vragen patiënten soms in naam van de AVG om hun patiëntengegevens te verwijderen. Dit kan uiteraard niet omdat ziekenhuizen naast de AVG ook nog aan andere wetgevingen moeten voldoen, waaronder de ziekenhuiswet.

Langs de andere kant is het niet eenvoudig om aan een patiënt, wanneer hij of zij zich komt aanmelden, in 30 seconden uit te leggen wat nu zijn of haar rechten als patiënt inhouden. Veel privacy policies van hospitalen zijn een kluwen van onbegrijpbare rechten en plichten.

“DPO’s hebben nood aan meer expertise en ervaring”

Van de DPO wordt kennis en kunde verwacht op het vlak van IT, wetgeving, de organisatiestructuur, HR, diplomatie enz. De realiteit leert echter dat het niet mogelijk is om al deze domeinen met dezelfde maturiteit te beheersen. Training is daarom essentieel om de basiskennis op het gebied van de AVG te verwerven en nadien te behouden. Maar ook ervaring is belangrijk. Er is dus voortdurend werk aan de winkel om ervaring op te doen en de kennis constant bij te schaven.

Volgens Peter is er gelukkig voldoende opportuniteit in de huidige maatschappij om ervaring op te doen als kersverse DPO of specialist in gegevensbescherming. Hoewel niet alle bedrijven een DPO moeten aanstellen, moeten ze alllen wel voldoen aan de regelgeving.

Een meerwaarde voor hen zijn zeker en vast de communities waar DPO’s van elkaar kunnen leren. DPI bijvoorbeeld heeft hier een belangrijke rol met haar Privacy Cafés maar ook DPO Circle en DPO PRO zijn in dit verband belangrijke groeperingen waar DPO’s samenkomen. Hiernaast zijn er uiteraard tal van andere platformen, zoals een podcast, en groepen zoals bv. de DPO community voor hospitalen.

Behoor je graag tot één van deze communities?

Word één van onze DPI alumni en volg onze opleiding Data Protection Officer Certificatie Training

“Nieuwe regelgeving is nodig”

Het goede nieuws is dat de AVG slechts het startpunt is. Naast de AVG hoopt Peter op de komst van de e-privacy en Artificial Intelligence verordeningen en op een verdere professionalisering. Zo is er nood aan een officiële certificering van producten en diensten en gedragscodes. Van deze laatste maakt de gegevensbeschermingsautoriteit alvast een prioriteit.

De AVG van vandaag is enkel maar de start meent Peter.