We zijn er nog lang niet

We zijn er nog lang niet

Vijf adviezen voor de implementatie van de AVG

Het zal nog zeker tot 2021 duren voordat ZZP’ers en het MKB de Algemene verordening gegevensbescherming (AVG) op de juiste wijze hebben geïmplementeerd. David Rakers, directeur bij SYNTYCHE, maakt de balans op een jaar na het in werking treden van de AVG en wat blijkt: we zijn er nog lang niet.

We hebben nog een lange weg te gaan voor de AVG volledig is geïmplementeerd. Om maar te beginnen bij de ZZP’ers en het MKB: zij hebben vaak voor een cosmetische oplossing gekozen door een cookiemelding en een privacy-statement op hun website te plaatsen. Als we doorvragen blijkt dat er in 45 tot 60 procent van de gevallen nog niets is gedaan met hun verwerkingsregister en overeenkomsten. Dat gaat voor problemen zorgen als de Autoriteit Persoonsgegevens (AP) controles uit gaat voeren.

Het recht op vergetelheid

De impact van de AVG op het bedrijfsleven is groot als men de AVG uitvoert aan de hand van alle negentig artikelen die onder de verordening vallen. Ik neem artikel 17 (Het recht op vergetelheid) hier als voorbeeld.

Artikel 17 bepaalt dat mensen organisaties kunnen vragen om hun gegevens te wissen door hun recht op vergetelheid. Een organisatie moet binnen één maand reageren op de aanvrager.

Privacy by design

Het verzamelen van deze gegevens is tijdrovend: en daarom adviseer ik ontwikkelaars van applicaties om bij het bouwen rekening te houden met artikel 17. Dan kunnen ze er procedures omheen programmeren. Dit gedachtegoed noemen we privacy by design, en het wordt de aankomende jaren steeds belangrijker.

Privacy by design is natuurlijk niet het enige dat je als organisatie of zzp’er in de gaten moet houden bij het implementeren van de AVG. SYNTYCHE geeft als aanbieder van privacy en cybersecurity diensten en oplossingen nog veel meer adviezen, maar voor dit blog beperk ik me tot vijf.

1. Regel je privacy (denk na over je privacy?)

Het is heel eenvoudig, maar ook jij bent een keer aan de beurt bij de AP. Ook van de ZZP’er wordt er verwacht dat hij nadenkt over hoe hij persoonsgegevens verwerkt.

2. Maak privacy deel van je bedrijfsvoering/cultuur

Als je de jaarstukken deponeert bij de Kamer van Koophandel, controleer dan in dezelfde gang je privacystatus. Denk daarbij bijvoorbeeld aan de status van je verwerkingsregister. Organiseer je organisatie rondom de AVG binnen je processen, beleid, procedures en gebruik. Ook dit is privacy by design en default.

3. Budgeteer je privacy

Door het inhuren van een data protection officer of een functionaris gegevensbescherming word je privacy proof. Deze deskundigen kunnen vragen over lastige privacy aangelegenheden beantwoorden.

Ik ontvang bijvoorbeeld regelmatig vragen die op het operationele vlak liggen. Daarbij moet je denken aan de opslag en behandeling van camerabeelden, grote databases met klantgegevens of het gebruik van persoonsgegevens voor marketing en mailingdoeleinden.

4. Verdiep je in de materie

Privacy is net zo belangrijk als KPI’s, cash flow of een balanspositie. Het gaat om de rechten en de bescherming van het individu. De website van de AP biedt veel informatie over de AVG, daar kun je een begin mee maken.

5. Houd je personeel op de hoogte

Geef regelmatig awarenesstrainingen of doe quizzen om de privacykennis van je personeel te testen. We weten uit ervaring dat bijna 70 procent van de datalekken wordt veroorzaakt door (onnozele) gebruikers. Bijvoorbeeld als een werknemer een USB-stick mee naar huis neemt en verliest. Gevolg? Een ongewild datalek!

Een training is een goede manier om je eigen AVG-kennis of die van je personeel scherp te stellen. We trainen personeel op het gebied van privacy via Global Knowledge. Denk bijvoorbeeld aan een Certified Information Privacy Professional-training. Het volledige aanbod bekijk je via onderstaande button.

Over David Rakers

David Rakers is eigenaar, oprichter en senior partner bij SYNTYCHE. Hij is verantwoordelijk voor strategische samenwerkingen, business development en community building. SYNTYCHE helpt organisaties met privacy en security oplossingen en diensten. SYNTYCHE is strategische partner van Global Knowledge en verzorgt Certified Information Privacy Professional en Manager trainingen.

Hoe zat het ook al weer met de AVG?

Op 25 mei 2018 is Nederland in de bang van de AVG. Deze nieuwe verordening vervangt dan officieel de Wet bescherming persoonsgegevens (Wbp). Binnen de EU heet de AVG de General Data Protection Regulation (GDPR).

De AVG beschermt de privacyrechten van het individu. Daarnaast stelt de verordening organisaties verantwoordelijk voor de manier waarop ze met persoonsgegevens omgaan en geeft de verordening de Europese privacy-toezichthouders uitgebreidere bevoegdheden. Ze mogen boetes tot 20 miljoen euro opleggen.