Zo’n dertig informatieprofessionals meldden zich op donderdagochtend 29 november bij het Van der Valk Hotel Groningen-Hoogkerk. Daar kregen zij niet alleen een ontbijtbuffet voorgeschoteld, maar ook een interactieve kennissessie over de implementatie van de nieuwe Europese privacywetgeving. Geen overbodige luxe, zo bleek al snel. Haio de Vries en Mathijs Hummel, allebei werkzaam als Shared FG (Functionaris Gegevensbescherming) bij Qbit Cyber Security, kwamen tijd tekort om alle vragen te beantwoorden.

Wat volgens De Vries en Hummel als een paal boven water staat, is dat we in Nederland over het algemeen goed nadenken over hoe we aan de nieuwe regelgeving kunnen voldoen. “We zijn als volk erg ‘compliance-gericht’ en willen graag zo snel en goed mogelijk aan nieuwe wetgeving voldoen. Maar daarin schieten we ook weleens door en maken we het onszelf onnodig moeilijk. Om goed aan de regels te kunnen voldoen zonder dat je taken en werkzaamheden daaronder lijden, is het dus van belang dat je als organisatie precies weet aan welke eisen je moet voldoen”, aldus de heren van Qbit.

Wat die donderdagochtend al snel duidelijk werd, is dat de Autoriteit Persoonsgegevens (AP), belast met de voorlichting over en handhaving van de nieuwe privacywetgeving, zijn communicatie daaromtrent nog niet helemaal op orde heeft. Zo is er nog de nodige onduidelijkheid over welke persoonsgegevens je nu voor specifieke doeleinden wel en niet mag bewaren, hoe je die data precies moet registreren en ook wie verantwoordelijk is als er iets misgaat, is nog niet in alle gevallen duidelijk.

Volgens een aantal aanwezigen schiet de Nederlandse overheid nog behoorlijk tekort als het gaat om de beantwoording van dergelijke vragen. Zeker in vergelijking met landen als Frankrijk en Engeland, waar organisaties veel meer worden bijgestaan met concrete informatie en standaard registratiemodellen. Een mogelijke reden voor die wat passievere houding van de AP zou er volgens De Vries en Hummel weleens in kunnen liggen dat de autoriteit niet alles wil voorkauwen en organisaties goed wil laten nadenken over hun privacybeleid. “Maar mogelijk schieten ze daar wat in door”, zo zien ook zij.

De heren van Qbit wisten de nodige verheldering te geven en gingen de discussie rond onderwerpen als Security by Design en Privacy Impact Assessment (PIA) niet uit de weg. Maar aan één ochtendsessie hadden ook zij niet genoeg om alle vragen rond de privacywetgeving te beantwoorden. “Dus als er animo voor is, komen we natuurlijk graag nog eens terug voor een vervolgbijeenkomst”, zo was de boodschap. Samenwerking Noord-secretaris Harold van Emst gaf in zijn slotwoord aan dat ook wel te zien zitten: “We hebben vandaag gezien hoezeer dit onderwerp leeft onder onze leden. Dus als zij hier graag een vervolg aan geven, dan faciliteren wij dat natuurlijk met alle plezier.”