De AVG privacywet is op 25 mei 2018 van kracht geworden. Nu, precies een jaar later, blikt Maarten de Rooij terug. Maarten is IT Business Professional bij ACA IT-Solutions en gespecialiseerd in beleidsmatige vraagstukken waaronder deze wet.
Twee jaar geleden begon de wet tot leven te komen en gingen de eerste organisaties stappen nemen om de manier van de verwerking van persoonsgegevens tegen het licht te houden. Mogen we wel alles verzamelen en mogen we met deze data alles zomaar doen. Van wie is die data eigenlijk?
Natuurlijk was er al eerder een wet die bepaalde hoe er met persoonsgegevens omgegaan moest worden. Dit was de WBP (Wet Bescherming Persoonsgegevens). De daadwerkelijke inhoud is in stand gebleven binnen de AVG. Groot verschil is dat de naleving en vooral het boetebeleid anders is geworden. Klopt dit wel in de praktijk? Gaat de AP (Autoriteit Persoonsgegevens) echt anders te werk dan zijn voorganger het CBP (College Bescherming Persoonsgegevens)?
“Mijn verwachting is dat dit wel degelijk aan het gebeuren is. Het gaat alleen niet zo snel. En dit kan ook niet en is ook niet de intentie van de overheid. De bedoeling is zelfregulering. En als dit niet lukt dan komt de AP langs. Te beginnen bij instellingen die verplicht zijn om een FG (Functionaris Gegevensbescherming) aan te wijzen. Daarna organisaties die verplicht zijn een register bij te houden. En natuurlijk is de AP bezig bij bedrijven die het bont maken en waar veel klachten over binnen komen.”
Want dat is de grote winst en het doel van de AVG (GDPR). De persoonsgegevens zijn niet van de bedrijven/instanties die ze verzamelen maar van de betrokkenen (de burgers). Op elk moment kan een burger zijn rechten doen gelden en vragen naar inzage, wijziging of verwijdering van zijn persoonsgegevens. Dat is de grote verandering. Deze gegevens zijn niet van bedrijven. Zij mogen die slechts met geldende gronden gebruiken voor vaste doelen. Wat opvalt is dat de houding bij bedrijven en instanties langzaam verandert en het blijkt dat het tijd nodig heeft om alle nieuwe procedures goed te laten landen en systemen aan te passen om de nieuwe wet te kunnen ondersteunen.
Maarten de Rooij licht toe: “Zelf merk ik in de praktijk dat veel bedrijven ‘iets’ gedaan hebben aan de AVG. Met goede intenties is er ooit begonnen aan de implementatie van deze wet. Maar vaak blijft het hierbij en komt het niet echt tot leven op de werkvloer. Dat kan ook niet als er niemand wordt aangewezen als hoofdverantwoordelijke/kartrekker.”
“Terugkijkend op de afgelopen periode is er veelal sprake van zelfregulering, ondersteund door onderzoeken van de AP. We zien dat een deel van de organisaties zelf de verantwoordelijkheid neemt om persoonsgegevens goed te beschermen. Er is echter ook een groep die er minder aandacht voor heeft. Vaak worden deze organisaties op de vingers getikt door bijvoorbeeld klanten of eigen medewerkers.”
“Ook komt het voor dat er klachten binnenkomen bij de AP en dat er vervolgens een onderzoek wordt ingesteld. De AP voert ook steekproefsgewijs onderzoeken uit. Zo werden in juli 2018 tien sectoren geselecteerd waarin steekproeven zijn gedaan. De AP komt ook in actie als er datalek is geconstateerd bij een bedrijf of instantie. Is hiervan geen melding gedaan door de organisatie zelf dan is de kans groot op een boete. Vaak verschijnt er ook een bericht in de media met als gevolg zeer negatieve media-aandacht. Daarom moet deze wet zeer serieus worden genomen, want de maatschappelijke druk is enorm en de consequenties zijn stevig.”
Twijfel je over de implementatie van de privacywet in je organisatie? Laat dan een analyse uitvoeren. Zo krijg je direct een goed beeld van de ‘gaps’ en de stappen die jouw organisatie dient te zetten om compliant te worden. Neem contact met ons op voor meer informatie.