AVG over 48 uur van kracht
Noodklok: slechts 42% van de middelgrote organisaties verwacht klaar te zijn voor de strengere regels. Zelfs minder dan vorig jaar. En maar 19% heeft een volledig register voor verwerkingsactiviteiten. Om de rampspoed compleet te maken: de helft van de 400 door PwC geconsulteerde organisaties voert geen risicoanalyses uit over het omgaan met persoonsgegevens. Is er nog leven na de Algemene Verordening Persoonsgegevens, is er nog leven na vrijdag 25 mei?
Reindert Doorn, AVG-expert bij Docco IT& Verandermanagement, heeft afgelopen tijd privacytraining gegeven aan personeel van 1200 administratie- en accountantskantoren. De uitkomsten van het PwC-onderzoek verbazen hem niet. “Er was bijvoorbeeld onduidelijkheid of kleinere organisaties een verwerkingsregister moesten bijhouden of vrijstelling zouden krijgen. Dat laatste is dus niet gebeurd, maar deze onzekerheden hebben wel tot uitstel van het nemen van maatregelen geleid. Twee jaar lang was sprake van een ‘wenfase’, maar pas sinds afgelopen kwartaal was er een hausse aan nieuws en kwam de communicatie op gang.”
Wat bij veel bedrijven ook speelde: het management is liever bezig met core business, met klanten verwerven, met groei en geld verdienen. De AVG is natuurlijk een stuk minder interessant. “Het idee was ‘ik kijk er wel een keer naar’. Voldoen aan de AVG-eisen wordt soms ervaren als kostprijsverhogende ballast”, zegt Reindert Doorn.
Minder strenge eisen
Zelfs aan de minder strenge eisen van de Wet Bescherming Persoonsgegevens, tot vrijdag geldig, voldoen veel bedrijven niet. Het verplicht bijhouden van een overzicht van datalekken? De helft van de PwC-respondenten doet het niet. “Dat geeft zwaar te denken”, zegt Bram van Tiel, privacyspecialist bij PwC.
Lees ook: Privacywet AVG, veiligheidsrisico’s papieren data vaak onderschat
“De toezichthouder was ten tijde van de vorige wetgeving geen stevige waakhond, er waren nauwelijks boetes en sancties”, zegt Reindert Doorn. “Dus dat die vorige wet niet heel erg serieus werd genomen is daarom wel te begrijpen. Maar met de nieuwe AVG en de huidige Autoriteit Persoonsgegevens is ook het ambitieniveau een stuk hoger komen te liggen. Het College Bescherming Persoonsgegevens veranderde zijn naam in Autoriteit Persoonsgegevens, het budget werd verdubbeld, het aantal werknemers van die nieuwe autoriteit groeit sterk. Vergeet niet dat de AP zelf ook aan allerlei verplichtingen moet voldoen.“
Lees ook: Privacywet AVG, mkb niet ontzien
Zo moeten ook kleine meldingen, klachten en tips worden opgevolgd door de Autoriteit Persoonsgegevens. Bedrijven die denken dat het – met nu nog 120 controleurs bij de autoriteit – allemaal wel mee zal vallen als het om sancties gaat, kunnen bedrogen uitkomen. Edward van Deursen, directeur van Securesult en met zijn acht man personeel dagelijks druk bedrijven AVG-proof te maken: “In principe kan de AP dus megahoge boetes opleggen. Ook aan kleine jongens als ZZP-bedrijven en startups. Want de boete is 4% van de wereldwijde omzet, dan wel maximaal 20 miljoen euro. In de praktijk zullen de controleurs zich vooral richten op grote organisaties en bedrijven. Denk aan de UWV’s en KPN’en van deze wereld. Als een ZZP’er kan aantonen dat hij goed bezig is, plannen maakt ter verbetering, zal het voor hem of haar waarschijnlijk bij een berisping blijven. Maar niets is zeker. En de AP beslist uiteindelijk.”
'Die 500 euro boete calculeer ik in'
“Een gefrustreerde oud-medewerker, een ontevreden klant… Als zij naar de Autoriteit Persoonsgegevens stappen, kunnen kan dat een aanleiding vormen voor opvolging door de Autoriteit Persoonsgegevens”, zegt Reindert Doorn. En als er in het MKB wordt gedacht ‘ach, die 500 euro boete calculeer ik in’, kan dat straks wel eens tegenvallen. De AP zal naleving van de verordening serieus aanpakken, zeker als zaken significant niet op orde zijn. Dan zal een voorbeeld gesteld worden. Ook al werd in de Tweede Kamer verzocht dat de Autoriteit zich zou opstellen als ‘hulpvaardige handhaver, gericht op herstel van fouten en overtredingen.’”
Rest de vraag of de twee dagen die nog resten tot de Autoriteit Persoonsgegevens serieus in Nederland rondwaart, voldoende tijd bieden voor een inhaalslag? Tips zijn er genoeg, tientallen bedrijven zeggen antwoorden te hebben, websites puilen uit. ‘In luttele stappen je verwerkingsregister maken.’ Wie beheert de gegevens in jouw bedrijf? Waarvoor gebruik je die gegevens? Van wie bewaar je wat? Met wie deel je gegevens? Sla je ze op in de cloud? Wat zijn de voorgenomen bewaartermijnen? Wat doe je om gegevens veilig te versturen en te bewaren? Het up-to-date houden van het register, zodra dat er eenmaal is. Het lijkt allemaal geen rocket science en dat register is dan ook maar een enkel onderdeel van de AVG. Toch lijkt ook hier een deadline van aanstaande vrijdag messcherp.
“Voor een gemiddeld bedrijf met minder dan 50 werknemers zou het moeten kunnen lukken om zo’n verwerkingsregister in twee dagen op te stellen”, meent Reindert Doorn van Docco. “Anderzijds kan het opvragen van informatie als je met partners als verwerkers opereert ook veel tijd kosten. Voor sommige bedrijven en organisaties die nu nog niets hebben geregeld, wordt het dus een moeilijk verhaal.”
Edward van Deursen, van Securesult BV: “Ik was deze week nog bij een bibliotheek. Daar heeft met tijdens de ‘wenperiode’ van twee jaar ook niets gedaan. Nu is iedereen druk bezig. ‘Als dat register er maar is, dan komen de te volgen procedures later wel.’ Tekenend voor activiteit in heel het land. Er is enorm veel vraag naar kennis. De meeste bedrijven en organisaties moeten nog beginnen. En ook ZZP’ers kunnen vol aan de bak.”