Bedrijven slecht voorbereid op nieuwe privacywetgeving

donderdag 24 augustus 2017

Veel organisaties zijn niet of nauwelijks voorbereid op de nieuwe Europese wetgeving voor de bescherming van persoonsgegevens. Eerder deze maand stelden deskundigen tegenover het Financieel Dagblad dat veel organisaties de nieuwe regelgeving onderschatten en dat sancties dreigen voor bedrijven die hun privacybeleid niet op tijd op orde hebben. Het aftellen naar 25 mei 2018 is begonnen!

Per 25 mei 2018 is de nieuwe Europese privacywetgeving van kracht, the General Data Protection Regulation. Alle bedrijven actief binnen de Europese Unie zijn straks verplicht aan de nieuwe privacywetgeving te voldoen. In Nederland is dit de Algemene Verordening Gegevensbescherming (AVG), die per genoemde datum de huidige Wet bescherming persoonsgegevens (Wbp) vervangt.

Wbp vs AVG

De huidige Wet bescherming persoonsgegevens verplicht bedrijven al om zorgvuldig om te gaan met persoonsgegevens. Deze wet is echter gebaseerd op regelgeving uit 1995 en sluit niet meer aan bij ons huidige digitale tijdperk. Nieuw onder de AVG is onder meer een veel strenger sanctiebeleid en hoge boetes. Deze kunnen oplopen tot maar liefst 20 miljoen euro of 4% van de totale jaarlijkse inkomsten wereldwijd.

Ook nieuw is dat organisaties gegevensverwerkingen moeten documenteren en zelf compliancy moeten kunnen aantonen, wat leidt tot administratieve lasten. Wanneer u werkt met persoonsgegevens kunt u bijvoorbeeld verplicht zijn een register bij te houden van alle dataverwerkingen van persoonsgegevens. Meer dan onder de Wbp het geval is moeten organisaties zelf aantonen dat ze zich aan de wet houden.

Lang proces

Het voldoen aan de AVG is een lang en ingewikkeld proces. Voor bewaren en verwerken van klantgegevens gaan strengere normen gelden en worden meer verantwoordelijkheden neergelegd bij bedrijven. Daarvoor zijn in veel gevallen technische, administratieve en organisatorische maatregelen nodig.

De termijn tot mei 2018 is bedoeld om bedrijven genoeg tijd te geven om de nodige maatregelen te treffen. Echter uit onderzoek blijkt dat veel organisaties hier (nog) niet mee bezig zijn. Volgens deskundigen zou zomaar eens de helft van de bedrijven die onder de verordening vallen, niet op tijd klaar kunnen zijn en daarmee het risico lopen op hoge boetes.

Aanpassing ICT-systemen en beveiliging

De impact van de nieuwe wet wordt onderschat. Het gaat in veel gevallen om wijziging in beleid over dataverwerking en serieuze aanpassingen van ICT-systemen en beveiliging. En hoewel securityincidenten of datalekken nooit helemaal zijn uit te sluiten, is aandacht voor uw ICT systemen en beveiliging wel een belangrijke eerste stap. Het beperkt de kans op incidenten, plus mocht een incident zich toch voordoen, maar kunt u wel aantonen de juiste technische maatregelen genomen te hebben, kan dit helpen bij het voorkomen van mogelijke boetes.

Flinke opgave

Hoewel mei 2018 nog ver weg lijkt, is AVG compliancy voor veel organisaties nog een hele opgave. Het probleem zit hem voor een groot deel bij de MKB organisaties. Daar is de kennis, capaciteit en expertise vaak onvoldoende. Uit onderzoek van MKB Nederland blijkt dat 6 op de 10 ondernemers geen idee hebben dat de wet eraan zit te komen, laat staan dat ze weten of ze door de nieuwe wet geraakt worden.

Per organisatie is natuurlijk verschillend hoe zwaar de AVG van toepassing is op de bedrijfsvoering. Dit is voor een aannemer anders dan voor een salarisverwerker. Maar zeker is dat elke organisatie per 25 mei 2018 moet voldoen aan de nieuwe regelgeving. Met minder dan tien maanden te gaan een flinke opgave dus voor bedrijven om zich klaar te stomen voor de nieuwe wet. Het aftellen naar 25 mei is begonnen!

Lees ook:

• Wat is de AVG?
• Spelregels van de AVG - en de impact op uw organisatie
• Doe de AVG quickscan