Invoering AVG vordert moeizaam

‘De inspiratie ontbreekt’

Veel corporates en publieke instellingen worstelen nog met de implementatie van de Algemene Verordening Gegevensbescherming (AVG). Het gros zal pas in de loop van 2019 AVG-proof zijn. Robert van Vianen en Sandra Konings, partners bij BDO en specialisten op het gebied van cybersecurity en privacy, geven antwoord op de vraag waarom het zo lang duurt. ‘Genereer positieve impact.’

Meteen maar de vraag: waarom die worsteling?

Robert van Vianen: ‘Het afgelopen half jaar heeft AP-voorzitter Aleid Wolfsen zich meerdere malen uitgelaten over de AVG en de implementatie hiervan. Het zijn vermanende geluiden: als u niet snel in actie komt, dan.... Maar dergelijke geluiden roepen vooral ook wrevel op, terwijl de vorderingen die in de publieke en profitsector worden gemaakt ruimschoots onvoldoende blijven. In onze ogen is die negatieve manier van communiceren over dit dossier mede debet aan de huidige situatie. Organisaties worden niet of nauwelijks aangesproken op hun verantwoordelijkheid naar klanten, burgers, stakeholders, maatschappij en op de kwaliteit van hun informatiehuishouding. De concentratie op compliance en het ontlopen van boetes creëert een afvinkcultuur die organisaties niet de inspiratie biedt om afdoende in beweging te komen op dit dossier. Bovendien: de AVG is een intelligent geformuleerde wet die een dergelijke afvinkmentaliteit allesbehalve beloont.’ Sandra Konings vult aan: ‘Vaak weten organisaties ook niet welke regels voor hen gelden en hoe de AVG invloed heeft op aanpalende wetgeving. Neem als voorbeeld een organisatie waar seizoensarbeid aan de orde is. Dergelijke organisaties hebben te maken met een ingewikkeld pakket aan wetgeving waar nu de AVG bij is gekomen.’

Hoe hebben organisaties de AVG ontvangen?

Robert van Vianen: ‘Voor veel bestuurders is de AVG zo’n wet als al die andere nieuwe wetten, waarvan ze de consequenties in hun organisatie door moeten voeren. Het móet gebeuren, maar het is veel werk en het appelleert eerder aan het plichtsgevoel dan aan de begeestering. Dat is niet vreemd, maar het miskent een belangrijke realiteit. De AVG staat in lijn met de organisatiestrategie (veilig, integer, verantwoordelijk) van om het even welke organisatie en biedt de mogelijkheid om op dit gebied die strategie echt waar te maken, ofwel te promoveren van papier naar realiteit. Ons advies: interpreteert u deze wet niet als overheidsbemoeienis die uw dagelijkse bedrijfsvoering belast, maar als het startpunt van een proces waarmee u uw organisatiestrategie van een steviger fundament voorziet. Dan gaat het ineens heel anders leven.’

Tegen welke problemen lopen organisaties aan?

Sandra Konings: ‘Het begint al met de juridisch terminologie: organisaties worden geacht een “redelijke mate van maatregelen te nemen”. Wat is redelijk? Wanneer doe ik het nu goed? Dat verschilt van organisatie tot organisatie. Het beschermen van patiëntengegevens bij een zorginstelling vergt mogelijk meer maatregelen dan het beschermen van adresgegevens bij een transportbedrijf.’ Robert van Vianen: ‘Ander probleem is de complexiteit bij internationaal opererende bedrijven. De AVG, of de General Data Protection Regulation (GDPR) kan overruled worden door lokale wetgeving. De belastingwetgeving in Nederland bepaalt bijvoorbeeld de bewaartermijn van bepaalde data en overruled daarmee de AVG. In andere landen kunnen die bewaartermijnen heel anders zijn. Een ander voorbeeld dat vlak over de grens speelt, is de aanstelling van een Data Protection Officer (Functionaris Gegevensbescherming). Onder bepaalde voorwaarden kan dat een verplichting zijn voor een organisatie. In Duitsland verschillen die voorwaarden echter per Bundesstaat.’ Sandra Konings: ‘Dan is er nog de vraag over de verantwoordelijkheid voor de verwerking van persoonsgegevens. Bij veel organisaties is een deel van die processen of de ondersteunende IT uitbesteed. Het is van belang juridische afspraken te maken met de leveranciers over het correct verwerken van persoonsgegevens.’

Hoe pak je de bescherming van persoonsgegevens goed aan?

Sandra Konings: ‘Bedenk welke persoonsgegevens in uw organisatie worden verwerkt en toets of dit noodzakelijk is. Neem vervolgens redelijke en aantoonbare maatregelen om deze gegevens af te schermen.’ Robert van Vianen: ‘Werken aan een volwassen, professioneel informatieveiligheidsbeleid (AVG) is van grote waarde voor elke organisatie. Los van wetgeving, boetebedingen en alle dreigementen waarmee ze gepaard gaan, doen organisaties er goed aan het werk te doen dat nodig is om te kunnen staan voor de veiligheid van de persoonsgegevens die ze onder beheer hebben. Daarmee genereren ze positieve impact op de professionaliteit van hun eigen medewerkers, versterken ze hun reputatie en leggen ze de basis voor de digitale toekomst van hun organisatie.’

==

Wilt u meer informatie over dit onderwerp? Neem dan contact op met Robert van Vianen, Partner BDO Advisory via robert.van.vianen@bdo.nl of 06 30 07 99 09 of met Sandra Konings, Partner BDO Advisory via sandra.konings@bdo.nl of 06 51 50 81 51.

Lees hier meer over Privacy & GDPR.