24 mei

AVG, Yay or Nay?

 

“AV-wat?” Of, iets minder bleu: “AVG, is dat wat anders dan GDPR? Een kleine rondgang leert me dat (nog) niet elke vakgenoot op de hoogte is van de betekenis van de privacywet die vanaf morgen van kracht is.

Laat staan dat de implicaties van de Algemene Verordening Persoonsgegevens (AVG) bij veel mensen bekend is. Of GDPR*, zoals de nieuwe privacywet in Europa bekend staat. Organisaties moeten volgens deze regelgeving in heldere en transparante taal die past bij de doelgroep duidelijk maken wat ze met de data van personen doen. Coolblue doet dat bijvoorbeeld goed. Bedrijven die beschikken over een database (hieronder valt ook het gebruik van een email client) met persoonsgegevens -praktisch elk bedrijf- hebben te maken met de nieuwe wetgeving. Dus ook PR- en communicatiebureaus.

Impact op PR bureaus
Ook wij hebben onder andere de verantwoordingsplicht om met documenten aan te kunnen tonen hoe we voldoen aan de AVG. En dat beperkt zich niet alleen tot de database met gegevens van journalisten zoals bijvoorbeeld Smart.pr, het systeem dat we bij NewsLab gebruiken. Werken met een dergelijk systeem betekent dat je ‘verwerkingsverantwoordelijke bent’, Smart.pr zelf is de ‘verwerker’. Als bureau ben je altijd verantwoordelijk voor de mutaties en handelingen die je in de database verricht. Concreet betekent dit dat er sprake is van een gedeelde verantwoordelijkheid wat betreft de AVG.

Maar het gaat verder dan dat. Wat veel mensen zich niet realiseren is dat de nieuwe regelgeving geldt voor ook de kleinste stukjes data. Stel, journalist X neemt op 25 mei de proef op de som en gaat een rondje bellen om te inventariseren of bureaus zich voldoende hebben voorbereid. Hier wil ik overigens niemand op ideeën brengen.
Deze journalist vraagt vervolgens om alle informatie die we over hem hebben beschikbaar te stellen. Dan zijn we net als andere organisaties verplicht deze informatie in een handzaam en duidelijk leesbaar document (een excel bestand met ruwe, onbegrijpelijke data voldoet niet) beschikbaar te maken. En daar zit al een flinke hobbel.

Want niet alleen gaat het om de gegevens die we in onze media databases hebben staan, maar het gaat ook om emails, IP gegevens en cookies. En heeft iemand uit het bedrijf ooit een afspraak gehad met de betreffende journalist en is daar nog bewijs van in een gedeelde digitale agenda? Ook dat hoort in het document te staan dat de journalist ontvangt. Het bijhouden van dergelijke informatie kan een hoop tijd en gedoe schelen in de toekomst.

Medewerker vertrokken, en dan?
Collega’s komen en gaan, en het feit dat de medewerker die in augustus vorig jaar een afspraak had met journalist X afgelopen maand vertrokken is, ontslaat ons niet van de verantwoordelijkheid om deze gegevens ook daadwerkelijk aan te leveren als journalist X daarom vraagt. En aan dat verzoek moet binnen dertig dagen gehoor worden gegeven. Blijft het bij één verzoek, dan is dat nog redelijk overzichtelijk. Maar wat als er nu vijf of tien journalisten aankloppen en hun eigen data opvragen?

De vraag is dan, wie gaat dit coördineren en uitvoeren? De Autoriteit Persoonsgegevens, de instantie die toezicht houdt op naleving van de AVG, geeft als suggestie om een functionaris voor gegevensbescherming (FG) aan te stellen. Hij of zij adviseert en rapporteert over de naleving van de AVG. Voor bedrijven die op grote schaal werken met persoonsgegevens is een dergelijk persoon vanaf 25 mei zelfs verplicht.

Ik kan me voorstellen dat PR en communicatiebureaus niet direct binnen de scope van de meeste journalisten liggen om eens onder de loep nemen. Er zijn ongetwijfeld aansprekende, meer op consumentengegevens gebaseerde organisaties te bedenken.

Toch wil je niet voor verrassingen komen te staan. Hoe groot of klein je organisatie ook is. Maak dus iemand verantwoordelijk voor de uitvoering en naleving op de AVG. Denk na over waar de gegevens zich binnen je organisatie bevinden en wie daar toegang tot heeft. En maak afspraken over wie welke taak op zich neemt bij het verzamelen en beheren van die informatie.

De Autoriteit Persoonsgegevens liet begin mei aan Nu.nl weten uit eigen beweging onderzoek te doen naar de naleving van de AVG. Boetes kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Het is maar dat je het weet.

Tip: Wil je klant weten naar wie je zijn persbericht stuurt? Stuur dan niet zomaar een medialijst met contactgegevens naar je klant. Want gaat die klant daar vervolgens zelf journalisten mee benaderen, of raakt hij die gegevens onverhoopt kwijt, dan is er feitelijk sprake van een datalek, met alle mogelijke gevolgen van dien.

Sander Khouw is senior PR-adviseur bij NewsLab

*General Data Protection Regulation