Hoe eenvoudig is het om een AVG-vriendelijke infrastructuur te implementeren?

Clare Hopping

25/07/2017

Over iets minder dan een jaar gaat de Algemene Verordening Gegevensbescherming (AVG) van kracht. Toch zijn er veel bedrijven die nog niet kunnen voldoen aan de nieuwe vereisten. Is het echt alleen maar een kwestie van iemand binnen je bedrijf toewijzen die de veranderingen doorvoert?

Er is al heel veel gezegd over de nieuwe AVG-wetgeving van de EU, onder andere het feit dat bedrijven nog lang niet klaar zijn voor de aankomende veranderingen. De reden daarvoor is dat ze enerzijds niet goed weten wat ze moeten doen en het anderzijds veel te druk hebben met andere zaken. Sommige bedrijven hebben de voorbereidingen stopgezet omdat ze denken dat ze door de aankomende Brexit niet te maken zullen krijgen met de AVG. Maar dat is natuurlijk niet waar.

Slechts 54 procent van de bedrijven denkt hun zaken op orde te hebben voordat de AVG wordt ingevoerd en een kwart vertelde Direct Marketing Association (DMA) dat ze nog niet eens waren begonnen met plannen voor de verordening. Maar dit hoeft niet per se de schuld van de bedrijven te zijn: de DMA denkt dat het Information Commissioner’s Office (ICO) onvoldoende begeleiding heeft gegeven, waardoor verwarring is ontstaan.

“Hoewel de meeste bedrijven bekend zijn met de AVG en ze nog een jaar de tijd hebben om zich op de nieuwe wetgeving voor te bereiden, is het aantal bedrijven dat denkt op tijd klaar te zullen zijn gedaald tot iets meer dan de helft,” aldus Chris Combemale, CEO van de DMA Group.

“Recente bekendmakingen en richtlijnen van het ICO hebben veel onrust veroorzaakt. De interpretatie van de wetten zou te strikt zijn en bedrijven straffen die zich het meest inzetten voor best practices, eerlijkheid en transparantie. Wat het bedrijfsleven nodig heeft, zijn evenwichtige en rechtvaardige richtlijnen van het ICO en van de Artikel 28-werkgroep. Met nog slechts 12 maanden te gaan, hebben we deze richtlijnen dringend nodig. Anders wordt het heel lastig om op tijd klaar te zijn.”

Eén ding is duidelijk: de nieuwe regels komen eraan, of bedrijven er klaar voor zijn of niet. Het is daarom essentieel dat zij over alle instrumenten beschikken om aan de verordening te voldoen, maar de vraag is: benoem je gewoon een functionaris voor gegevensbescherming te benoemen en ga je op de oude voet verder?

Naleven of ten onder gaan

Bij niet-naleving van de regels kunnen bedrijven te maken krijgen met boetes tot € 20 miljoen (of vier procent van de wereldwijde omzet). De AVG is dus geen zaak om licht op te vatten. Een enquête van Veritas wees onlangs uit dat maar liefst een vijfde van de ondervraagde bedrijven bang was dat ze hun activiteiten zouden moeten staken als gevolg van deze hoge boetes.

Hoewel er veel werk aan de winkel is voor alle bedrijven die met persoonsgegevens werken, hoeft het niet per se de nachtmerrie te worden die veel bedrijven vrezen. Met enkele ingrepen zijn de meeste bedrijven al aardig op weg om aan de nieuwe vereisten te voldoen.

Sommige bedrijven hebben al een functionaris voor gegevensbescherming aangesteld die de bestaande procedures van het bedrijf controleert en nieuwe procedures introduceert. Voor kleinere bedrijven lijkt een extra werknemer op de loonlijst misschien een zware last, maar het kan een wijze investering zijn in vergelijking met de hoge boetes voor niet-naleving van de regels.

GO DPO denkt zelfs dat ten minste 7000 bedrijven in het Verenigd Koninkrijk vóór mei 2018 een functionaris voor gegevensbescherming moeten aanstellen of deze rol moeten uitbesteden, conform de vereisten van de AVG.

Privacykennisgevingen

Als je ervoor kiest de rol intern in te vullen met bestaand personeel, zul je tijd en een budget moeten reserveren om te zorgen dat de publieke aspecten – zoals het up-to-date houden van privacykennisgevingen – prioriteit krijgen. Het bijwerken van een privacykennisgeving kan een dag werk kosten, maar kan een bedrijf ook beschermen tegen schade.

Dat geldt ook voor het inventariseren van de gegevens die het bedrijf in bezit heeft. Het is best mogelijk dat je erachter komt dat je gegevens bewaart die niet echt tot jouw mandaat behoren, en het kan zijn dat je ontdekt dat bepaalde essentiële gegevens ontbreken. Een korte beschouwing kan dus een groot voordeel opleveren tegen heel lage kosten.

Daarnaast dient het IT-personeel je oudere en kwetsbare systemen op te lappen en bij te werken – iets wat overigens tot de routine zou moeten behoren – dus zorg ervoor dat de inkoopafdeling over de juiste middelen beschikt om het gehele proces soepel en efficiënt te laten verlopen.

Weet je al wat je moet doen in geval van een inbreuk?

Een andere niet benijdenswaardige taak – die niettemin noodzakelijk is – is het vaststellen van een duidelijke strategie voor het afhandelen van een eventuele inbreuk.

Wat ook op je prioriteitenlijst zou moeten staan, is een communicatieplan voor je werknemers, je klanten en het ICO. De wijze waarop je klanten inlicht dat hun gegevens zijn aangetast, zou mogelijk een deel van de schade kunnen verzachten. Dit is cruciaal in gevallen waarin financiële gegevens worden bewaard.

Daarnaast moet je voorbereid zijn op verzoeken om verwijdering van en inzage in persoonsgegevens. Naarmate meer mensen zich bewust worden van de waarde van hun gegevens, zullen we een scherpe stijging zien van het aantal personen dat zelf wil controleren of hun gegevens in veilige handen zijn.

Hoewel veel bedrijven nog onvoldoende zijn voorbereid op de AVG, kost het niet veel tijd om een plan op te stellen waarmee je aan de regels voldoet: nu én op 18 mei 2018, wanneer de AVG daadwerkelijk wordt ingevoerd.

Als je zeker wilt weten dat je bedrijf aan de nieuwe voorschriften voldoet zonder dat de hele organisatie daar veel last van ondervindt, is het een goede investering om voor de komende 12–24 maanden iemand in dienst te nemen of in te huren als functionaris voor gegevensbescherming.

Hoewel het niet onmogelijk is om je personeel zo in te zetten dat aan de nieuwe eisen kan worden voldaan, is het veel eenvoudiger om één persoon aan te stellen die dit project leidt en erop toeziet dat jouw bedrijf klaar is voor de AVG.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.