Het boek Grip op de AVG biedt actuele inzichten en praktische handvatten voor iedereen die met privacywetgeving werkt. In gesprek met auteur Jeroen Terstegge bespreken we de belangrijkste updates van deze nieuwste editie, zoals Europese jurisprudentie, en gaan we in op uitdagingen, trends en concrete adviezen voor risicogebaseerde compliance. Zijn boodschap: de AVG is lang niet zo ingewikkeld als sommige mensen je doen willen geloven.

De vierde druk van Grip op de AVG is op 8 januari 2025 verschenen en verkrijgbaar via Kluwer of uw lokale boekhandel


Wat zijn de belangrijkste updates of toevoegingen in deze vierde druk? En hoe hebben veranderingen in wet- en regelgeving rondom de AVG de inhoud van deze editie beïnvloed?
Het Europese Hof van Justitie is de afgelopen paar jaar actief geweest met de interpretatie van de AVG. Omdat het Hof het laatste woord heeft over hoe de bepalingen van de AVG moeten worden geïnterpreteerd, bevat de tekst nu concrete verwijzingen naar de Europese jurisprudentie, zodat het voor de lezer duidelijk is dat die interpretatie nu vaststaat.

Zijn er specifieke sectoren of praktijkvoorbeelden toegevoegd in deze nieuwe druk?
De nieuwe uitgave bevat nu een uitgebreid overzicht van hoe de AVG samenhangt met andere digitale wetten, zoals de AI Act, de Data Act, de Digital Services Act en de Digital Governance Act.

Welke nieuwe uitdagingen zijn er de afgelopen jaren ontstaan voor organisaties die te maken hebben met de AVG?
We merken dat bij veel organisaties nog steeds grote handelingsverlegenheid heerst vanwege onvoldoende kennis over de ruimte die de AVG biedt om wél persoonsgegevens te verwerken. Dit lijkt mede te worden veroorzaakt doordat veel organisaties te kampen hebben met een hoge in- en uitstroom van compliance-personeel. Met dit boekje kunnen managers ook antwoorden vinden op de meeste vragen die ze hebben over de AVG.

“Een van de grootste misvattingen over de AVG is dat je niks mag met persoonsgegevens”

Wat is jouw advies voor organisaties die moeite hebben met het structureel naleven van de AVG?
Aap niet na wat andere organisaties doen. Veel organisaties hebben niet én een FG én een Privacy Officer nodig. En je hoeft ook niet overal een DPIA op te doen. De AVG vereist risico-gebaseerde compliance; dat wil zeggen dat je alleen DPIA’s moet doen of privacypersoneel moet aannemen, als je organisatie spannende dingen doet met persoonsgegevens of hele gevoelige persoonsgegevens verwerkt. Voor het overige is het toch vooral verstandig nadenken en geen dingen doen, waarvan je niet zou willen dat andere organisaties dat met de persoonsgegevens van je moeder of je kinderen doen.

Welke tools of methodes raad je aan om grip te houden op de privacywetgeving?
Als je in een sector zit, waarin ook veel andere organisaties actief zijn met gelijksoortige processen, denk dan eens na over een gezamenlijke gedragscode. Zo’n gedragscode is vaak beter te begrijpen voor de mensen op de werkvloer dan die vage AVG, waarvoor je steeds bij een jurist, Privacy Officer of FG langs moet. Als een gedragscode niet mogelijk is, kijk dan eens naar een AVG-specifieke certificering voor je belangrijkste werkprocessen.

Zijn er specifieke valkuilen waar organisaties volgens jou vaak tegenaan lopen als het gaat om de AVG?
Veel organisaties denken dat met de aanstelling van een Privacy Officer en/of FG compliance het met de AVG wel goed komt. Dat is een misvatting. Ten eerste is de kwaliteit en ervaring van de privacy officer en/of de FG relevant. Het gezegde ‘garbage in is garbage out’ is ook hier van toepassing. Ten tweede vereist compliance sturing en toezicht door het management. Privacy Officers en FG’s zijn alleen je adviseur. Veel organisaties hijsen hun Privacy Officer en/of FG op een voetstuk, waardoor bedrijfsprocessen stilvallen omdat er ‘gedoe’ is over de AVG. Risicogebaseerde compliance betekent dat het (lijn)management de beslissing neemt over het accepteren van de AVG-risico’s, juíst omdat 100% compliance met de AVG een illusie is.

Hoe zie jij de toekomst van privacywetgeving in Europa, bijvoorbeeld met de ontwikkeling van nieuwe technologieën zoals AI?
De AVG zit politiek op slot. Dat wil zeggen dat de kans klein is dat de wetstekst de komende jaren wordt gewijzigd. De voortgaande digitalisering en de toegenomen risico’s van misbruik van persoonsgegevens betekent dat we steeds meer zullen zien dat (sector)specifieke wet- en regelgeving de AVG nader invult. Dat zien we op Europees niveau nu al met de AI Act, de Data Act, de Digital Service Act en de Digital Governance Act. Ook Nederland kent wetten die de AVG nader invullen, zoals de Wet basisregistratie personen, de wet- en regelgeving rondom medische dossiers, het BSN en het strafrecht. Ik verwacht dat die trend doorzet, zodat de AVG zelf steeds meer het karakter krijgt van aanvullende wetgeving.

Zijn er trends of veranderingen die organisaties nu al in overweging zouden moeten nemen?
Hoelang mag het lijstje zijn? Allereerst de risico’s van artificiële intelligentie, waarover wij binnenkort in deze reeks een apart boek uitbrengen. Ook de geopolitieke risico’s mag je niet uitvlakken. Het zal moeilijker worden om persoonsgegevens de wereld over te sturen. Niet alleen omdat de meeste andere landen inmiddels ook AVG-achtige wetgeving hebben die export van persoonsgegevens verbiedt, maar ook omdat landen wantrouwiger worden naar elkaar.

Voor wie is dit boek in de eerste plaats bedoeld, en hoe helpt het deze doelgroep?
Dit boek is allereerst bestemd voor managers, juist om minder afhankelijk te zijn van deskundigen (waar ook schaarste aan is). Daarnaast kan het boek ook interessant zijn voor studenten die een carrière in het privacyvak overwegen en mensen die horizontaal overstappen naar het privacyvak.

Wat motiveert je om over de AVG te blijven schrijven en het boek te blijven actualiseren?
De sciencefictionschrijver Isaac Asimov schreef ooit in zijn boek Foundation’s Edge (1982) dat “de voortuitgang van de mensheid niets anders is dan een oefening in het beperken van privacy”. In Grip op de AVG komt mijn 35 jaar ervaring in het privacyvak bij elkaar. Maar de risico’s van gegevensverwerking voor privacy en andere mensenrechten zijn nu veel groter dan 35 jaar geleden. Ondertussen blijf ik zelf ook leren van anderen. Elke nieuwe druk bevat dus elementen waar sprake is van voortschrijdend inzicht.

Over de auteur

mr. drs. Jeroen Terstegge, CIPP E/US 
Jeroen Terstegge is één van Nederlands meest vooraanstaande privacy juristen, managing partner van PMP. Hij heeft ruim 25 jaar ervaring op privacygebied en was als Privacy Officer van Philips één van de geestelijke vaders van de Binding Corporate Rules (BCR’s). Zijn stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen. Hij brengt complexiteit terug tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren als e-commerce, energie, finance, ICT en HRM. 


Terug naar het overzicht