Print:

Laat je niet gek maken door de AVG

Ferry Waterkamp , Journalist

LinkedIn profiel

Voor financiële organisaties is de bescherming van privacy een complexe en tijdrovende aangelegenheid. Een deel van die taken en complexiteit heeft te maken met de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 wordt toegepast en in alle opzichten een enorme impact heeft op de bedrijfsvoering. Met een goede voorbereiding hoeft de AVG echter niet op een monster te lijken.

Grote uitdagingen

De AVG plaatst grote, internationaal opererende organisatie voor diverse uitdagingen. Een probleem waar met name verzekeraars mee te maken hebben is de legacy van data en systemen. Hoe ga je om met data die al in de jaren zeventig zijn aangemaakt en voor een deel nog op papier staan? Wat je daarmee gaat doen, is afhankelijk van de risico’s die je loopt en welke maatregelen je neemt om die risico’s (voor klanten) te beperken.

Ook de eis dat data in een leesbare vorm overdraagbaar moeten zijn – de ‘dataportabiliteit’ – zorgt voor hoofdbrekens. Hoe draag je data over aan een concurrent als er in die data ook intellectueel eigendom zit? En hoe zorg je ervoor dat legacy data voor anderen leesbaar zijn?

Een andere uitdaging waar financiële organisaties mee te maken krijgen, is het ‘element van goedkeuring’. Hoe vraag je toestemming voor de verwerking van persoonsgegevens voor secundaire doeleinden als je maar heel weinig contact hebt met de klant? Dit ‘element van goedkeuring’ ligt een stuk eenvoudiger voor bijvoorbeeld webwinkels. Klanten van bol.com zijn eraan gewend dat er op bijna wekelijkse basis contact is. Die luxe hebben financiële instellingen vaak niet.

Ga aan de slag

Voor veel organisaties is de AVG dan ook te complex en gaat het een hele grote uitdaging worden om op tijd compliant te zijn. Gelet op de grote uitdagingen zijn veel financiële organisaties dan ook al in een vroegtijdig stadium gestart met de voorbereidingen op de AVG. Voor bedrijven die nog niet met de voorbereidingen zijn begonnen, is er eigenlijk maar één dringend advies: ga aan de slag!

Begin daarbij met het verkrijgen van steun van de top van het bedrijf. Vervolgens is het belangrijk dat echt iedereen in het bedrijf het belang ziet van privacy en de AVG. Ten slotte moet duidelijk zijn wie waar verantwoordelijk voor is. Denk hierbij ook aan het aanwijzen van de Data Protection Officers (DPO’s/FG’s).

Maar laat je vooral ook niet gek maken. Zorg ervoor dat je op 25 mei 2018 de grootste risico’s hebt gemitigeerd, dat je kunt aantonen dat je constant verbeteringen doorvoert en een concreet plan hebt om deze uit te voeren en continu te verbeteren. Die ‘accountability’ is erg belangrijk.

AVG IIR

Meer weten over hoe u zich voorbereidt op de AVG? Bezoek dan op 16 mei as het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’. Data Protection Officers van financiele organisaties zitten tijdens dit congres een rondetafel voor over hoe u de planning aanpakt en welke stappen u moet nemen om op tijd aan uw verplichtingen te voldoen.