(Cartoon: Stef Ringoot)

Het staat nog haarscherp op ons netvlies: 25 mei 2018. Dé dag dat de Algemene Verordening Gegevensbescherming (de AVG) werd ingevoerd. Het zorgde voor een hoop commotie. Iedere actualiteitenrubriek gaf aan dat ondernemingen miljoenenboetes boven het hoofd hingen als zou blijken dat ze niet zouden voldoen aan deze nieuwe privacywet.

Gelukkig is dat allemaal enorm meegevallen. Wel is er, zichtbaar en onzichtbaar, veel gebeurd. Wat is de stand van zaken in Nederland:

  • Sinds mei vorig jaar heeft de Autoriteit Persoonsgegevens 22.000 vragen ontvangen.
  • In 10.000 gevallen gaat het om een klacht,
  • Meer dan de helft van de vragen is inmiddels afgehandeld,
  • 40% van alle vragen is nog in behandeling,
  • Er lopen 11 handhavingsonderzoeken in de publieke en private sector in ons land,
  • Er is 1 boete uitgedeeld waartegen hoger beroep is aangetekend.

In Europa zijn diverse bedrijven, groot en klein, al op de vingers getikt. De bekendste is natuurlijk Google. Zij ontvingen een boete van 50 miljoen Euro voor het niet nakomen van GDPR-verplichtingen. Kleinere, lokale, ondernemingen gingen op de bon voor enkele duizenden euro’s vanwege het niet veilig op slaan van wachtwoorden of het gebruiken van beveiligingscamera’s in openbare ruimtes.

Bij ons valt dus allemaal nog mee; slechts 1 boete op basis van de AVG en het aantal en de aard van de gemelde datalekken is te overzien. Misschien ook omdat veel datalekken nog niet herkend worden en nog niet gemeld worden. Het bewustzijn is in Nederland wel gegroeid. Het schandaal rond Facebook heeft daar goed aan bijgedragen, daar kan geen overheidscampagne tegen op.  Maar ook omdat een flink deel van de ondernemingen in Nederland aan de slag is gegaan met de AVG bewustwording en medewerkers geïnformeerd heeft over datalekken en rechten van betrokkenen. Er zijn vele projecten gestart om verwerkingen van persoonsgegevens in kaart te brengen, verwerkingsovereenkomsten af te sluiten en marketinginspanningen tegen het licht te houden.

Een ander deel heeft niets gedaan. Omdat het belang niet gezien wordt  of omdat er gewoonweg nauwelijks persoonsgegevens worden verwerkt.

Tenslotte is er nog een derde groep organisaties. Zij hebben de AVG aangegrepen om eens kritisch te kijken naar de randvoorwaarden voor een goede naleving van de AVG. Ze hebben hun IT security op een hoger niveau gebracht, autorisaties geschoond, contracten niet alleen voorzien van verwerkersovereenkomsten maar leveranciersmanagement  ingevoerd, contracten opgezegd of heronderhandeld. Sommigen zijn zelf bezig met privacy (en security) by design en verwerkt kaders voor privacy en security in een agile scrum aanpak.

Het thema voor 2019

AVG ComplianceDe Autoriteit Persoonsgegevens en ook klanten hebben bedrijven het afgelopen jaar de tijd gegeven om te wennen aan de nieuwe regels. Die enigszins flexibele houding blijft natuurlijk geen stand houden. Het thema privacy is volwassen. Burgers krijgen meer kennis en stellen zich daardoor ook veeleisender op. Voor bedrijven is het dus zaak om in 2019 professioneel door te pakken met de AVG-wetgeving.

Pak deze uitdaging dan ook in samenhang met diverse projecten op; zoals de staat van de interne beheersing in de onderneming of de status over de weerbaarheid of wendbaarheid (resilience of agility) van de organisatie. Procesbeschrijvingen op hoofdlijnen vergroten je efficiency maar ook je verandervermogen. Scherp zijn op de diensten van je cloudleverancier is goed voor je security en privacy, maar ook voor je portemonnee. Onder de noemer van de AVG kan je veel goeds doen voor je organisatie en als bijvangst zorgen voor compliance!

Bron: Arjen van Nes en Autoriteit Persoonsgegevens

(Cartoon: Stef Ringoot)

 

Terug naar het nieuws overzicht