Reflectie

Het onderzoek heeft bestaan uit een literatuurstudie, interviews met drie deskundigen en

gesprekken met vertegenwoordigers van acht organisaties die bezig waren met de implementatie van de AVG. Aanvankelijk bestond het idee om met een enquête te onderzoeken hoe organisaties omgaan met de implementatie van de AVG en welke maatregelen zij nemen voor het recht op gegevenswissing. Hiervan is afgezien vanwege het (naar later bleek terechte) vermoeden dat organisaties nog volop bezig zijn met de implementatie van de AVG en hierbij problemen en onduidelijkheden tegenkomen. Een aanpak met een gestandaardiseerde vragenlijst, zoals een interview is dan minder geschikt. Bij een gesprek kan de interviewer flexibeler zijn: Hij kan direct inspelen op de antwoorden van de geïnterviewde, doorvragen en verder ingaan op specifieke aspecten.

Er bleek enorm veel informatie te vinden te zijn over de AVG in het algemeen. Echter van veel literatuur die op het Internet was verschenen was de betrouwbaarheid van de bron niet altijd even duidelijk. Over het recht op gegevenswissing was veel minder literatuur te vinden. Daarbij was het noodzakelijk goed op te letten, want een aantal documenten ging specifiek in op het wetsvoorstel en niet op de AVG in zijn huidige vorm. Daarnaast is er literatuur over het vergeetrecht verschenen naar aanleiding van de Costeja-zaak uit 2014. Deze literatuur is niet gebaseerd op de AVG, maar op de voorganger van de AVG, de richtlijn 95/46/EG.

De benaderde personen en organisaties waren allemaal direct bereid om een interview te geven. Wel wilden sommige organisaties vooraf afspraken maken over anonimiteit. Er is toen onder meer afgesproken om geen namen van organisaties te noemen in de scriptie. Wel heeft de opdrachtgever een overzicht ontvangen met daarop de namen van geïnterviewden, hun functies, de organisaties waarvoor zij werken en de datums waarop de gesprekken hebben plaatsgevonden. De gesprekken hebben allemaal in een open atmosfeer plaatsgevonden. Het werkelijk valideren van de voorgestelde maatregelen bleek maar voor een deel mogelijk.

Doordat de AVG nog relatief nieuw is en de organisaties nog volop bezig zijn met de implementatie ervan, beschikken zij nog niet over een complete set aan maatregelen. Organisaties hadden meestal wel al maatregelen getroffen die betrekking hadden op de inrichting van de AVG in algemene zin: bijvoorbeeld verdeling van taken en bevoegdheden, betrokkenheid management, data privacy beleid. Specifiek voor het recht op gegevenswissing waren nog geen maatregelen genomen. Wel werd informatie verkregen over onder meer knelpunten voor de implementatie van de AVG in het algemeen en voor het recht op gegevenswissing in het bijzonder.

De deskundigen gaven een beeld van de AVG vanuit verschillend perspectief. Met name het gesprek met een onderzoeker van een grote researchorganisatie verschafte meer inzicht in de achtergrond en aanleiding van de AVG. Dit heeft geresulteerd in extra aandacht in de scriptie voor deze aspecten. Daarnaast hebben deze deskundigen belangrijke input geleverd voor de set maatregelen en met name de process flow.

In het onderzoek is ook aandacht besteed aan de audit functie. Echter vermoedelijk omdat de AVG van recente datum is, is er weinig literatuur gevonden over de AVG in relatie tot de IT audit functie. De rol van de IT auditor is ook in de gesprekken voor het praktijkonderzoek aan de orde geweest. Echter de antwoorden waren vrij algemeen en enkele organisaties waren ook totaal onbekend met deze functie.

9.6 Tot slot

Uit het onderzoek komt naar voren dat organisaties momenteel niet beschikken over een adequate set aan maatregelen om verzoeken voor het recht om gegevenswissing / recht op vergetelheid adequaat af te handelen. Er worden wel werk verzet: zes van de acht organisaties hebben een actueel gegevensbeschermingsbeleid en zeven organisaties hebben een Functionaris

Gegevensbescherming aangesteld. Alle organisaties gaven aan dat de directie actief betrokken is en toezicht houdt en dat er aandacht is voor training en instructie. Er moet nog een grote hoeveelheid werk verzet worden. Een inzicht dat gedeeld wordt door de ervaringen van twee geïnterviewde deskundigen bij hun klanten. Oorzaken hiervoor zijn onder meer: onderschatten van de hoeveelheid werk, te laat starten doordat is gewacht op richtlijnen vanuit de bracheorganisatie en meerdere wettelijke vereisten waaraan (vrijwel gelijktijdig) gehoor gegeven moest worden, bijvoorbeeld de implementatie van IFRS 9. Daarnaast werd verschillende keren genoemd dat de Autoriteit Persoonsgegevens het eerste jaar geen controles gaat uitvoeren en geen boetes gaat uitdelen. Uit al deze signalen kan worden afgeleid dat organisaties het onderwerp vooral zien als een

verplichting waaraan je moet voldoen om boetes te vermijden. Het achterliggende doel, het belang van de wetgeving -het zorgvuldig omgaan met persoonsgegevens van klanten of burgers krijgt minder aandacht. Het is dan ook twijfelachting of organisaties volledig compliant zijn per 25 mei 2018.

In de reflectie is ingegaan op het onderzoeksproces, dat bestond uit een literatuurstudie, interviews met drie deskundigen en gesprekken met vertegenwoordigers van acht organisaties.

Literatuur

Allen & Overy LLP. (2017) The EU General Data Protection Regulation 2016. Geraadpleegd op 2 maart 2017 op

http://www.allenovery.com/SiteCollectionDocuments/Radical%20changes%20to%20European%20d ata%20protection%20legislation.pdf

Ambrose, Meg Leta & Ausloos, Jef (2013). The right to be forgotten across the pond. Journal of information policy 3, 1-23. doi: 10.5325/jinfopoli.32013.0001.

Ausloos, Jef. The ‘Right to be forgotten’- worth remembering?. (2012) Computer law & security review 28, 143-152. Doi:10.1016/j.clsr.2012.01.006.

Bunn, Anna. The curious case of the right to be forgotten. (2015) Computer Law & Security Review 28, 336-350. 4Doi: 10.1016/j.clsr.2015.03.006.

Centrum voor Informatiebeveiliging en Privacybescherming (CIP) (2017). Tussen Wbp en AVG: over de invoering van de AVG. Geraadpleegd op 5-6-2017 op

https://www.noraonline.nl/images/noraonline/e/e6/2017_CIP_Tussen_Wbp_en_Avg_over_de_invo ering_van_de_AVG.pdf

Centrum voor informatiebeveiliging en Privacybescherming (CIP) (2017) Grip op privacy: de privacy baseline, de Algemene Verordening gegevensbescherming ontrafeld voor toepassing in organisaties. Geraadpleegd op https://www.cip-overheid.nl/wp-content/uploads/2018/03/20171030-Privacy- Baseline-v3_1.pdf

COSO Internal control- integrated framework principles. (2013) Committee of sponsoring organizations of the Treadway committee (COSO). Geraadpleegd op 4-9-2017 op

https://www.coso.org/Documents/COSO-ICIF-11x17-Cube-Graphic.pdf

Deloitte accountants BV. Interne beheersing in de praktijk: Are you in control? Geraadpleegd op 26- 8-2017 op https://www2.deloitte.com/content/dam/Deloitte/nl/Documents/risk/deloitte-nl-risk- interne-beheersing-in-de-praktijk-are-you-in-control.pdf.

Europees parlement en de Raad van de Europese Unie. (2016, april 27) Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening

gegevensbescherming). Publicatieblad van de Europese Unie L119, 1-88. In 10 stappen voorbereid op de AVG (2017) geraadpleegd op:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op _de_avg.pdf

The Institute of Internal Auditors (IIA) (2013). Position paper: the three lines of defense in effective risk management and control. Geraadpleegd op 6-10-2017 https://na.theiia.org/standards-

guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective %20Risk%20Management%20and%20Control.pdf

The institute of internal Auditors (IIA) (2013). Internal standards for the professional practice of internal auditing (standards). Geraadpleegd op 6-10-2017 op https://na.theiia.org/standards- guidance/Public%20Documents/IPPF%202013%20English.pdf

Keuning, Doede & de Lange, Ruud (2015). Grondslagen van het management. Groningen/ Houten: Noordhoff Uitgevers.

Koorn, Ronald & Stoof, Suzanne (2013). IT-assurance versus IT certificering: wat biedt mij (voldoende) zekerheid? Compact, p. 12-21.

KPMG Advisory NV (2012) Serviceorganisatie control-rapport, ISAE 3402: praktijkgids 4.

KPMG Advisory NV (2014). Assurancerapporten voor IT-serviceorganisaties SOC 2: praktijkgids 5. Martijn, M & Tokmetzis, Dimitri (2018). Je heb wél iets te verbergen: over het levensbelang van privacy. De Correspondent.

Modderkolk, H. (2017, Augustus 26). Er wordt aan onze privacy geknaagd: Data-analyse wordt ingezet bij automatisering of bij het opsporen van fraude. Zijn dit onschuldige efficiëntie maatregelen of begeven we ons op een gevaarlijk hellend vlak, een analyse in 3 incidenten. De Volkskrant.

Nivra, Norea (2006) Richtlijn 3600. Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (Privacy-audits).

Ridderbeekx, Ed & Schueller, Suzanne (2017). Privacy: meer dan compliance en informatiebeveiliging. De IT auditor 26 geraadpleegd op 11-7-2017 van

https://www.deitauditor.nl/informatiebeveiliging/privacy

Schermer, Bert W., Hagenauw, Dominique & Falot, Nathalie. (2018) Handleiding Algemene

verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming. Ministerie van Justitie en veiligheid.

Sokow, Beata. Forget me, forget me not: redefining the bounderies of the right to be forgotten to address current problems and areas of criticism.

Tankard, Colin (2016) What GDPR means for businesses. Network security (6), 5-8. doi: 10.1016/S1353-4858(16)30056-3.

Uitvoeringswet Algemene verordening gegevensbescherming (2017, 20 januari). Geraadpleegd op 2 maart 2017 van https://www.internetconsultatie.nl/uitvoeringswetavg

Van Lieshout, M., Djafari, S. & Vermeulen P. (2017) Respect4U. TNO.

Verschuuren, P. & H. Doorewaard. (2015). Het ontwerpen van een onderzoek. Amsterdam: Boom. Zwenne, Gerrit-Jan. (2015) Het Internetvergeetrecht. Ars aqui (64)1, p.9-17. Geraadpleegd op 13-4- 2018

https://openaccess.leidenuniv.nl/bitstream/handle/1887/37400/ZWENNEInternetvergeetrechtAA20 15_1p.9.PDF?sequence=1

Zwenne, Gerrit-Jan. (2012) Nog veel onzekerheden over het recht om te worden vergeten. Tijdschrift voor Internetrecht 3, 68-76.