AVG / GDPR: Kom op overheid, geef ons betere richtlijnen!

Het merendeel (77%) van het midden- en kleinbedrijf vindt dat de overheidsvoorlichting over de nieuwe privacywetgeving slecht is. Dat blijkt uit een peiling van MKB Nederland onder 2800 MKB-bedrijven. Ondernemers lijken door de bomen het bos niet meer te zien, maar de wet gaat wel op 26 mei in.

Wat staat u te wachten?

De overheid is erg lang zoekende geweest wat de AVG / GDPR betreft. Vooral de rol van de Autoriteit Persoonsgegevens als handhaver was lang onduidelijk. Kanttekening is wel dat zij als onafhankelijk orgaan haar taak uitoefent met een bezetting van slechts 140 medewerkers. De tijd dringt echter, omdat alle organisaties in Nederland na 26 mei aan de nieuwe wet moet voldoen.

Autoriteit Persoonsgegevens klaar voor 26 mei?

De Autoriteit Persoonsgegevens lijkt nu nog niet bij machte om gedegen privacy-dossiers op te bouwen. Laat staan om privacy-inbreuken te onderzoeken en de AVG / GDPR strikt te handhaven. Aangezien dit zelfstandig bestuursorgaan nog niet klaar is voor de deadline van 26 mei, is zij waarschijnlijk terughoudend met het uitdelen van boetes.

Meer privacy guidance vanuit de overheid

Recentelijk heeft de privacy-autoriteit zich hierover uitgelaten(!). Men neemt zich voor om na 26 mei de klachten van burgers niet direct te juridiseren. Bij het vaststellen van een AVG / GDPR – overtreding geeft de Autoriteit Persoonsgegevens uitleg aan de betreffende organisatie en gaat bemiddelen tussen partijen. Daarmee wil de toezichthouder vervelende juridische trajecten voorkomen.

Tegelijkertijd is het wenselijk dat het bedrijfsleven goede richtlijnen krijgt. En ook dat de privacy waakhond brancheverenigingen faciliteert en voorlicht. Ondernemers – en businessclubs organiseren nu veel bijeenkomsten op eigen initiatief. Ondertussen kijken de Autoriteit Persoonsgegevens en brancheverenigingen elkaar afwachtend aan.

Meer harmonie in Europees verband

De nieuwe Europese wet wordt straks in alle lidstaten op gelijke wijze toegepast. Daarvoor moeten de lidstaten wel met elkaar harmoniseren.  Wordt een sanctie en daaropvolgende boete op dezelfde wijze in Helsinki behandeld als in Sevilla? Europa heeft daar wel ideeën over, zoals ik eerder schreef in AVG / GDPR-boete: feit, fictie en nuance? Ook dat heeft tijd nodig.

Bent u nu te laat voor de AVG / GDPR?

Of u te laat bent voor de AVG / GDPR hangt er vanaf… De Autoriteit Persoonsgegevens pleit er voor dat als eerste de informatiebeveiliging van uw organisatie op orde is. Let op, ze vinden dat één van de basics!

Safesecur Group zit bovenop de ontwikkelingen en voert regelmatig ISO 27001 certificeringstrajecten en AVG / GDPR quick-scans uit. Het resultaat van zo’n scan is een prioriteitenlijst. Hierop staan alle ‘aan-te-pakken’ risico’s op gebied van informatiebeveiliging, datalekken of mogelijke privacy-inbreuken.

Wanneer u de volgende zaken op orde heeft, dan bent u al goed op weg:

  1. Maak uw informatiebeveiliging aantoonbaar op orde, bijvoorbeeld door een ISO 27001 certificeringstraject
  2. Maak uzelf en uw organisatie privacy-bewust (awareness traject)
  3. Informeer uw klanten en wijs op hun privacy-rechten
  4. Maak een overzicht van hoe u persoonsgegevens verwerkt (verwerkingsregister)
  5. Maak een Data Privacy Impact Assessment (DPIA)
  6. Zorg ervoor dat uw producten en diensten rekening houden met privacy
  7. Onderzoek of u een functionaris gegevensbescherming nodig heeft
  8. Documenteer datalekken
  9. Zorg voor een verwerkersovereenkomst
  10. Zorg eventueel voor toestemming voor het verwerken van gegevens

Benieuwd welke risico’s u over het hoofd ziet? Ik sta u graag persoonlijk te woord op 06-10961847.