De uitdaging van veranderende Privacywetgeving

Vorige week verscheen in het Financieel Dagblad een artikel, waarin werd beschreven dat bedrijven grote moeite hebben om te voldoen aan nieuwe Europese wetgeving omtrent persoonsgegevens. Het artikel geeft daarbij aan dat bedrijven worstelen met de eisen die de Algemene Verordening Gegevensbescherming (AVG) stelt, die niet alleen aanpassingen in procedures vereist, maar ook technische aanpassingen in systemen.

Onderschatting van Privacy

Het Financieel dagblad spreekt de verwachting uit dat de helft van de bedrijven niet klaar zullen zijn voor de verordening wanneer deze van kracht wordt (mei 2018). Waarschijnlijk is dit nog een voorzichtige inschatting. De onderschatting van bedrijven zit hem niet alleen in het beeld dat zij hebben van de AVG, maar ook in de bedrijfscultuur. Organisaties die in het verleden beperkt aandacht hebben besteed aan privacy staan al met 1-0 achter. Een aantal van de eisen die de AVG stelt, zijn ook al onderdeel van de huidig geldende Nederlandse wetgeving, de Wet Bescherming Persoonsgegevens (WBP). Ook de huidige wet stelt dat een bedrijf passende technische en organisatorische maatregelen dient te treffen om persoonsgegevens te beveiligen. Ter illustratie: recht op inzage en recht op correctie door betrokkenen (personen waarvan een bedrijf gegevens verwerkt) maken al sinds 2001 onderdeel uit van de privacywet. Bedrijven die geen inzicht hebben welke gegevens zij in welke systemen verwerken lopen daarmee het risico dat zij onder de huidige wetgeving al niet voldoen.

Maatschappelijk besef

Het Financieel Dagblad noemt ook de ‘soft law’ als oorzaak, daar gebrekkige bescherming niet tot forse boetes kon leiden. Dit is in Nederland met ingang van 2016 gewijzigd, en de omvang van een boete zal onder de AVG verder toenemen. In de praktijk zie ik echter nog regelmatig dat bedrijven het risico op een boete als beperkt inschatten, en vanuit die overweging de AVG niet pro-actief oppakken. Een miscalculatie. Bedrijven moeten zich beseffen dat zij niet de eigenaar zijn van persoonsgegevens in haar systemen, maar dat de persoon dit zelf is. Dit vereist dat een bedrijf haar verantwoordelijkheid neemt naar de eigenaar. Dit moeten zij niet alleen doen vanuit de wettelijke kaders, maar ook vanuit haar maatschappelijk besef. Doordat mede door de AVG de aandacht en bewustwording omtrent Privacy in de maatschappij zal toenemen, kan onderschatting tot een risico voor de bedrijfscontinuĆÆteit leiden.

Samenwerking vereist

Zoals ook het Financieel Dagblad meldt draait de AVG om meer dan alleen het aanpassen van zaken als beleidstukken. Uw bedrijf zal procedures moeten opstellen of aanscherpen, en de systemen moeten aanpassen om invulling aan deze procedures, en ander eisen uit de AVG te kunnen geven. Uw privacybeleid zou u met het informatiebeveiligingsbeleid moeten integreren daarmee de samenhang met andere maatregelen, gericht op de beveiliging en kwaliteit van gegevensverwerkingen, eenvoudiger te kunnen waarborgen. Naast deze aanpassingen dient u ook de bewustwording van uw medewerkers te vergroten. Een gebrek aan bewustwording kan de effectiviteit van alle getroffen maatregelen ernstig belemmeren. De AVG vraagt daarmee dan ook om een multidisciplinaire aanpak van juristen, ICT, HR, Internal Control en andere betrokkenen.

Meer weten?

Wilt u meer informatie over een pragmatische multidisciplinaire aanpak om uw risico op het gebied van privacy te beheersen, kijk dan hier voor meer informatie of neem contact met mij op.



Tags: