088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

Bent u klaar voor de AVG op 25 mei?

Over iets meer dan twee weken is de ingangsdatum van de AVG een feit. Vanaf 25 mei aanstaande is de AVG van toepassing en geldt de nieuwe privacywet in de hele Europese Unie (EU). Organisaties zijn veelal op projectmatige wijze de afgelopen periode bezig geweest om zich voor te bereiden. De timebox is helder: op 25 mei stopt het project en gaat de (permanente) beheerfase in. Dan zijn we ‘AVG ready’. Tenminste, als het goed is…

Nog niet iedereen klaar voor de AVG

De praktijk lijkt echter weerbarstiger. Zo rapporteerde SRA op 4 april jongstleden dat duizenden sportclubs nog niet klaar zijn voor de aanstaande AVG. De voorlopige uitslag van het jaarlijkse HR Trendonderzoek 2018-2019, uitgevoerd door Berenschot onder ruim 20.000 HR- en salarisprofessionals, wijst uit dat 75% nog niet klaar is voor de AVG. Uit een peiling uitgevoerd door MKB Servicedesk blijkt dat 7 op de 10 MKB bedrijven “niet klaar zijn met de maatregelen voor de nieuwe Europese privacywetgeving waar ze over een maand aan moeten voldoen”.EU AVG Privacy legislation

Rol van de Autoriteit Persoonsgegevens

Met cijfers als deze zou je verwachten dat de privacywaakhond Autoriteit Persoonsgegevens (AP) vol aan de bak kan. De vraag is of de AP haar toezichthoudende en handhavende rol direct fors zal gaan uitvoeren, of dat zij organisaties eerst helpt bij het maken van een zachte landing. Ook de AP heeft wat te bewijzen als het gaat om toezicht en handhaving wil de AVG niet verworden tot een papieren tijger. Dat belooft vuurwerk, toch?

Nog niet, want met het aannemen van de Uitvoeringswet AVG nam de Tweede Kamer een motie aan waarin de AP wordt gevraagd voorlopig niet te streng te zijn bij het handhaven van de nieuwe privacyregels. De AP heeft (in dat kader) laten weten dat toezicht in eerste instantie vooral gericht zal zijn op het controleren op aanwezigheid van een Functionaris Gegevensbescherming (FG). De FG (of in een minder formele rol de “privacy officer”) is iemand die in een organisatie toezicht houdt op toepassing en naleving van de AVG. Handhaving, zo laat de AP weten, zal vooral plaatsvinden bij ernstige misstanden.

Rustig aan dus?

Het lijkt er dus op dat er nog wat (extra) tijd over is om AVG zaken te regelen. Echter, schijn kan bedriegen. Wanneer het gaat om de AVG is de AP niet de enige stakeholder waar je rekening mee moet houden, èn verantwoording aan moet afleggen. Eén van de zaken die  de nieuwe privacywet kenmerkt is namelijk het verbeteren van privacyrechten van individuen. De AVG biedt individuen (‘betrokkenen’) meer en nieuwe handvatten om hun privacyrechten mee uit te oefenen.

Concreet: je klanten, relaties, maar ook je (ex)personeel kunnen een beroep op je doen om transparantie te verschaffen over welke persoonsgegevens je van hen verwerkt, met welk doel, hoe lang je deze bewaart en hoe je deze beschermt. Artikel 13 en 14 van de AVG beschrijven glashelder de informatieplicht die je als organisatie naar betrokkenen hebt. Artikel 15 tot en met 22 beschrijven welke rechten individuen mogen uitoefenen ten aanzien van de verwerking van hun persoonsgegevens. Ook kunnen individuen een klacht indienen bij de AP over de manier waarop een organisatie met hun persoonsgegevens omgaat.  De AP is verplicht deze klachten te behandelen.

Schade als gevolg van non-compliance AVG

Er is veel gezegd en geschreven over de torenhoge boetes die de toezichthouder bij non-compliance kan opleggen. Ik heb vaak gehoord dat “niet voldoen aan de AVG leidt tot een boete van 20 miljoen Euro of 4% van de jaaromzet”. Gelukkig ligt dit iets genuanceerder. Echter, een aantal privacyschandalen (zoals Facebook) en enorme datalekken (waaronder Equifax) van de afgelopen periode heeft er mede toe bijgedragen dat mensen meer privacybewust worden.

De schade bij AVG non-compliance zou weleens meer uit de hoek van klanten en andere directe stakeholders kunnen komen dan uit de hoek van de toezichthouder. Een goede reputatie is immers snel vernietigd, zo blijkt. Neem als organisatie daarom bij het beoordelen van privacyrisico’s vooral je klanten en directe stakeholder mee, en niet alleen de toezichthouder. Bent u al klaar voor de AVG? Onze gratis AVG-brochure helpt u op weg.

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl