De focus bij de AVG (Algemene Verordening Gegevensbescherming) ligt op datacollectie en databeheer. De aantoonbaarheid van de herkomst en opslag van gegevens is belangrijk. Dit betekent dat voor de opslag van elk persoonlijk gegeven expliciete toestemming aanwezig moet zijn van de persoon in kwestie, én dat het inzichtelijk moet zijn waar deze gegevens opgeslagen zijn. Hoe lastig is dit? Vraag maar eens een willekeurige medewerker welke persoonsgegevens op de harde schijf staan of in de mailbox zitten. Het antwoord op deze simpele vraag legt bloot dat een volledige implementatie van de AVG nog niet zo eenvoudig is.
Risico’s in de praktijk
Met de invoering van de AVG zijn de boetes bij overtreding veel hoger geworden ten opzichte van de oude Wet Bescherming Persoonsgegevens. Vanaf januari 2016 had de Autoriteit Persoonsgegevens de bevoegdheid om boetes op te leggen bij overtreding van de meldplicht datalekken van maximaal 820.000 euro. Vanaf 25 mei 2018, de datum van de van kracht wording van de AVG, is dat maximaal 20 miljoen of 4% van de wereldwijde jaaromzet. Afhankelijk van de grootte van jouw bedrijf kan dat dus flink oplopen. Daarnaast wordt de kans op boetes ook hoger door de toegenomen aandacht voor privacy en datalekken.
Deze boetes van de Autoriteit Persoonsgegevens (AP) vormen overigens niet eens het belangrijkste risico. Het vertrouwen van klanten is een kostbaar goed. Reputatieschade door negatieve media-aandacht als gevolg van het niet voldoen aan de AVG brengt dit vertrouwen in gevaar. Je moet er niet aan denken dat jouw bedrijf op Facebook ter verantwoording wordt geroepen voor het openbaar worden van klantgegevens!
Aan de slag
Veel bedrijven zijn nog bezig met de implementatie van maatregelen om te voldoen aan de AVG. Wij merken dit in de praktijk door de projecten die we op dit gebied doen, maar ook bijvoorbeeld door de opt-in mailtjes die wij nog steeds krijgen van relaties die deze gegevens al lang voor 25 mei 2018 in hun database hadden.
Belangrijke handvatten om de risico’s te beperken zijn:
- Stel allereerst een Data Privacy Officer (DPO) aan.
- Voer een Data Privacy Impact Assessment (DPIA) uit.
- Implementeer een framework voor informatiebeveiliging zoals de Cobit of ISO27001. Zie ook https://www.finext.nl/drie-goede-redenen-om-iso-27001-te-implementeren.
- Stel nauwkeurig vast wie verantwoordelijke is en wie verwerker van persoonsgegevens die jouw organisatie gebruikt. Ga met alle verwerkers waarmee jouw organisatie zakendoet een verwerkersovereenkomst aan.
- Zorg voor accurate vastlegging van uitgevoerde maatregelen waaruit AVG-compliance blijkt.
- Stel een protocol op voor datalekken.
- Kweek privacy-bewustzijn bij alle mensen die bij jouw organisatie betrokken zijn. Lees ook https://www.finext.nl/hoe-kweek-je-een-goede-risicocultuur.
Toekomst
Toezichthouders in de Europese landen werken nu samen in het bewaken van de privacy. Omdat dit nieuw is, zijn zij nog aan het leren en zich positioneren. Op hoofdlijnen focussen toezichthouders zich thematisch op bedrijfstakken. Vaak wordt dit gedreven door het aantal meldingen over bepaalde specifieke gegevens en bedrijfstakken. In juli 2018 is de Autoriteit Persoonsgegevens (AP) een onderzoek gestart naar naleving van de privacyregels door private sectoren. Hiervoor neemt de AP een steekproef binnen de volgende tien sectoren: industrie en metaal, waterleidingbedrijven, bouw, handel, horeca, reisorganisaties, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. De steekproeven worden verspreid over heel Nederland uitgevoerd.
Kortom, het halen van de eindstreep is één ding, nu is het zaak om AVG-spieren binnen de hele organisatie soepel te houden. Veel rekken en strekken dus!
Wil je na het halen van de AVG-eindstreep de rest van de complianceberg beklimmen? Neem contact op met Dick Slot en lees ook eens het artikel over de 7 stappen van deze berg.