Er is massaal toegewerkt naar de deadline van 25 mei 2018, onder de dreiging van de hoge boetes. Hoe staan we er nu voor? Wordt er gehandhaafd? Op 2 april blikte Bas van der Linden terug op de invoering van de Algemene Verordening Gegevensbescherming (AVG).
Wat is de AVG?
De AVG verplicht bedrijven om zorgvuldig en verantwoord om te gaan met persoonsgegevens (dus niet bedrijfsgegevens). De AVG is niet nieuw. In mei 2016 is de bestaande Wet Bescherming Persoonsgegevens (WBP) aangepast. De AVG is een verdere aanscherping van deze wet. Met het ingaan van de AVG wordt er ook gehandhaafd als niet aangetoond kan worden dat je serieus met het proces bezig bent.
Hoe staan we er nu voor?
Er is massaal toegewerkt naar de deadline van 25 mei onder de dreiging van de hoge boetes. We zijn echter nog lang niet klaar blijkt uit een onderzoek van Forrester (dec 2018) dat laat zien dat:
- 62% de 3e partijen niet beoordelen op AVG
- 57% doet niet aan privacy by design
- 55% heeft geen maatregelen om datalekken te melden binnen 72 uur
Blijkbaar zijn de inspanningen om de verdere inrichting volgens de AVG na 25 mei afgenomen onder de aanname we hebben laten zien dat we er serieus mee bezig zijn geweest en de rest komt nog.
Hoe gaan we er mee om?
De AVG regelgeving is niet eenduidig en laat veel ruimte voor interpretatie. Er is ook nog weinig jurisprudentie met als gevolg dat er massaal datalekken gemeld worden (EU: 59000 in 10 maanden) en dat men extreem omzichtig omgaat met het opslaan van privacygegevens. Overal wordt toestemming voor gevraagd of er wordt op voorhand vanuit gegaan dat het niet mag. Terwijl de wetgeving voldoende ruimte biedt. Bijvoorbeeld: als je zelf materiaal aanlevert dan geef je impliciet toestemming en hoeft hier achteraf geen toestemming voor geven te worden.
Wordt er gecontroleerd?
Jazeker, er zijn al boetes opgelegd met als primeur een ziekenhuis in Portugal waarbij 1000 personen toegang hadden tot patiëntgegevens in een ziekenhuis met 296 artsen (€400.000 boete). Maar de hoogst toegekende boete is €50 miljoen voor het zonder toestemming verwerken van persoonsgegevens voor reclame doeleinden.
Wat nu te doen?
Het is te adviseren om toch aandacht aan de AVG te blijven besteden. Je bent er nooit klaar mee in de organisatie!
Zorg er voor dat:
- Je weet waar je gegevens uithangen. Hoe zijn ze beschermd? Welke gegevens betreffen het? Zijn het bijzondere gegevens?
- Weet hoe je gegevens worden verwerkt. Maak eventueel een verwerkingsregister aan
- Bepaal wie de verwerker en wie de verwerkingsverantwoordelijke is. Stel waar nodig de verwerkingsovereenkomst op.
- Documenteer waar nodig. Denk aan een privacy handboek
- Maak het niet te complex! Veel documentatie stel je eenmalig op. Identificeer die zaken die belangrijk zijn voor je organisatie