Bent u wél klaar voor de AVG?

De Algemene Verordening Gegevensbescherming (AVG), die de Wet Bescherming Persoonsgegevens vervangt is per 25 mei van kracht. Het is niet zomaar een privacywet die – over de gehele Europese Unie – wordt doorgevoerd. Het is een kritische spiegel die bedrijven wordt voorgehouden: welke data hebben we écht nodig om ons werk te kunnen doen?

Lastig om door te voeren, aangezien de AVG geen concrete richtlijnen geeft. De Uitvoeringswet AVG zal in Nederland invulling geven aan deze richtlijnen.

Auteur: Mick Netiv is Directeur bij Robidus

Het bedrijfsleven heeft ruim twee jaar de tijd gehad om de nieuwe privacywetgeving in concrete maatregelen te vertalen. Welk soorten data mogen we, gezien onze werkzaamheden, wel verzamelen? Waar moeten we toestemming voor vragen? En welke gegevens hebben we juist níét nodig? Concrete kwesties, maar dit in aanwijsbaar beleid omzetten blijkt een gigantische uitdaging te zijn.

Een magere voldoende

Robidus peilde onder 31 grote Nederlandse organisaties – met ieder meer dan 500 werknemers in dienst – hoe het er bij hen voorstaat wat betreft de AVG. Wat blijkt is dat slechts een kwart van deze bedrijven klaar is voor de nieuwe regelgeving. Gemiddeld gezien geven ze zichzelf een magere voldoende (5,7) en dat stemt tot nadenken.

Het gaat hier namelijk niet alleen om de persoonsgegevens van mensen buiten de betreffende organisaties. Ook de data van de eigen werknemers wordt nog niet conform de AVG verwerkt: alleen binnen dit onderzoek hebben we het dan al over meer dan 40.000 personen!

‘Imagoschade is niet in geld uit te drukken’

In het feit dat zoveel bedrijven nog niet AVG-proof zijn zitten enorme consequenties voor het Nederlandse bedrijfsleven verborgen. Allereerst is er de dreigende imagoschade. Bedrijven die niet op een juiste wijze met persoonsgegevens om kunnen gaan, boeten flink in qua betrouwbaarheid, wat uiteindelijk het vertrouwen in deze organisaties enorm schaadt.

Wat de potentiële gevolgen van deze imagoschade zijn, valt amper in bedragen uit te drukken. De boetes die de Autoriteit Persoonsgegevens mag opleggen zijn wél concreet aan te wijzen. Geldboetes vanuit de AP kunnen oplopen tot 20 miljoen euro óf 4 procent van de wereldwijde groepsomzet, afhankelijk van de aard van de overtreding.

Verantwoordingsplicht

De kop in het zand steken heeft geen zin: organisaties die er nog niet klaar voor zijn móéten aan de slag om op 25 mei aan de regels te voldoen. Vanaf dan geldt er een verantwoordingsplicht en moeten bedrijven aan kunnen tonen wat voor persoonsgegevens ze verzamelen, met welk doel dit gebeurt en hoe ze de gegevensbeveiliging hebben opgezet en ingericht. Het onderzoek toont in ieder geval aan dat het overgrote deel van de bedrijven nog ontkennend moet antwoorden op de vraag: bent u klaar voor de AVG?