Door Roy Jansen en Ashiq Nanhekhan

Zo maar een ochtend deze week bij een coffeeshop ergens op Curaçao. Een gezelschap praat elkaar bij over de laatste ontwikkelingen op het eiland. Halverwege het gesprek gaat het ineens over de vele e-mails die schijnbaar alle aanwezigen hebben ontvangen van organisaties met de boodschap dat zij gegevens van hen in bezit hebben, dat de privacyvoorwaarden zijn aangepast en of nogmaals toestemming zou kunnen worden verleend voor het gebruik van hun persoonlijke gegevens.ashiq
Eveneens eerder deze week in een directieoverleg van een onderneming op Curaçao. Als laatste op de agenda staat ‘GDPR’, door de toenemende stroom aan vragen die vanuit klanten wordt ontvangen, zoals:
* Welke persoonlijke gegevens de onderneming van betrokkene in haar bezit heeft?
* Waarvoor de persoonlijke gegevens gebruikt worden?
* Wat de beoogde bewaartermijn is van de gegevens?
* Met welke andere organisaties deze gegevens wellicht gedeeld zijn?
Bovenstaande fictieve situatieschets betreft twee voorbeelden van de grote ‘Privacy Parade’, geïnitieerd door de nieuwe Europese Privacywet, de Algemene Verordening Gegevensbescherming (AVG) die vanaf vandaag in werking is getreden.

Controle terug waar deze hoort
Waarom zouden wij, in het Land Curaçao, blij moeten zijn met de ontwikkeling ingezet door deze nieuwe Europese Privacywet? Dat is in essentie te herleiden naar de reden waarom reeds jaren de uitspraak wordt gedaan dat data het hedendaagse goud is. Onze gegevens zijn namelijk inderdaad goud waard. Voor bijvoorbeeld marketing, voor geopolitieke of medische doeleinden. Het is voor velen al te lang zo dat de grote ‘corporates’ te veel macht hebben over de persoonlijke gegevens van hun (beoogde) klanten en ook niet transparant genoeg zijn over de redenen voor en wijze van gegevensverwerking en -opslag. Nu denkt u, maar wij zijn geen EU-burgers. Hoe zit dit dan met onze rechten in het Land Curaçao? Want ook u begint te onderkennen hoe belangrijk bescherming van uw persoonsgegevens is.

royjansen

Een kans om uit te blinken
Voor organisaties op Curaçao is de komst van de AVG bij uitstek een kans om de EU, maar ook andere landen te laten zien dat bescherming van persoonsgegevens hoog in het vaandel staat. Al helemaal gezien de strategische richting van het ‘Smart Nation’-concept, is internationale samenwerking en gegevensuitwisseling cruciaal om daadwerkelijk deze ambitie te realiseren. Het is dus ook niet zozeer de angst voor reprimandes en boetes die organisaties zou moeten bewegen om zich te conformeren aan de Europese AVG. Een aantal concrete maatregelen die organisaties sowieso kunnen nemen betreft het onderhouden van een register met alle gegevensverwerkingen, het opstellen van gegevensbeschermingsbeleid en het op orde krijgen/houden van de digitale beveiliging.

Een blik in de toekomst
Met de komst van de AVG is reeds in meerdere landen een dialoog gaande om de privacybescherming op eenzelfde wijze en niveau in te regelen als in de EU. Dit zou voor onze Landsverordening bescherming persoonsgegevens uit 2010 betekenen dat deze van een update zal worden voorzien om ook in het lokale persoonlijke gegevensverkeer meer nadrukkelijk toe te zien op bescherming van deze gegevens. Maar wat betekent dat nou concreet voor u als consument of ondernemer in het Land Curaçao?

 

Versterkte rechten consument
De nieuwe AVG geeft consumenten onder andere het recht op transparante informatie. Dit zou voor u als consument betekenen dat het voor u duidelijk moet zijn waar uw persoonsgegevens verzameld zijn, gebruikt, geraadpleegd of op een andere manier verwerkt worden. Om dit duidelijk te kunnen maken, geeft de AVG het recht op inzage, wat voor u betekent dat u bij een bedrijf kunt opvragen welke gegevens zij van u hebben en wat zij hier mee doen. Daarnaast geeft de AVG consumenten bijvoorbeeld ook het recht om hun gegevens te wijzigen, te laten verwerken of beperkingen op de verwerking van hun gegevens te leggen. Ook geeft de nieuwe AVG consumenten het recht op informatie bij verzameling van gegevens. Voor u als consument betekent dit dat u duidelijker geïnformeerd zal worden over onder andere voor welk doel uw gegevens gebruikt zullen worden en hoe lang deze bewaard zullen blijven.

Plichten ondernemer
Voor u als ondernemer brengt de nieuwe AVG een aantal plichten met zich mee om te voldoen aan de eerdergenoemde rechten van de consument. Om aan deze plichten te kunnen voldoen dient u allereerst een grondige analyse uit te voeren van uw processen en de (persoonlijke) informatie die u ontvangt, verwerkt en opslaat. Vervolgens dient u te bepalen welke informatie wordt geclassificeerd als persoonlijke informatie en in hoeverre u deze echt nodig heeft binnen uw processen en eveneens of een wettelijke grondslag hiervoor bestaat. Documenteer waarom u deze data nodig heeft, zodat u uw consumenten hierover kunt informeren. Ook dient u te kijken naar de wijze waarop u de informatie opslaat en structureert. Kunt u uw consumenten een overzicht bieden van de persoonlijke data die u van hen heeft? Als het antwoord hierop ‘nee’ is, dan zult u hiervoor een manier moeten vinden. Ook dient u aanpassingen door te voeren bij de informatieverzameling, zodat u duidelijk kunt onderbouwen waarom u de data nodig heeft en hoe lang u de data bewaard. Zorg er ook voor dat u de data na de bewaartermijn zorgvuldig verwijdert.

25 Mei 2018
Is Curaçao vanaf vandaag al privacyproof? Waarschijnlijk niet. Maar wat zullen we dan wel merken van de AVG? In eerste instantie een bewustwordingsproces, zowel bij consumenten als bij organisaties, als dat al nog niet heeft plaatsgevonden. Steeds meer personen in de fictieve coffeeshop zullen het over hun persoonsgegevens hebben en ‘GDPR’ wordt een terugkerend onderwerp op de directieagenda. De verandering is ingezet en zal nog jaren aanhouden. En dat is goed! Wij hebben er allemaal baat bij dat er zorgvuldig wordt omgegaan met ons ‘nieuwe goud’, toch?

Ashiq Nanhekhan (foto boven) is op een missie om de regio veiliger, meer waakzaam en weerbaarder te maken op het gebied van cybersecurity. Hij is manager van de Cyber Risk Services-praktijk van Deloitte Dutch Caribbean, waar hij, samen met het team, klanten ondersteunt en adviseert bij diverse, complexe cybersecurityvraagstukken. Cybersecurity is zijn passie en daarom deelt hij zijn kennis graag ook op andere manieren naast zijn klantprojecten.

Roy Jansen (foto onder) is als director Risk Advisory onder andere verantwoordelijk voor de Privacy Risk-dienstverlening van Deloitte Dutch Caribbean. Het valt hem op dat vooral de organisaties die de afgelopen jaren geïnvesteerd hebben in de verdere professionalisering van informatiebeveiliging, nu vrij eenvoudig een effectieve manier vinden voor de implementatie van relevante ‘privacy controls’ in hun organisatie.


Wilt u op ruim 8.000 kilometer van Nederland Nederlandse ochtend-krant bij het ontbijt niet missen? Lees dan de Caribische editie van DE TELEGRAAF
Telegraaf

Het ANTILLIAANS DAGBLAD is de enige lokale Nederlandstalige ochtendkrant van Curaçao, Bonaire, Aruba en Sint Maarten.

antdagblad-logo


Abonnee worden of voor meer informatie over losse verkoop en advertentiemogelijkheden: E-mail of fax: Naam, voorletter(s), straatnaam, huisnummer, telefoon en aanvangsdatum. Abonnementsprijs* is Naf 25,50 incl. OB (abonneren is alleen mogelijk op Curaçao).