Print:

Vier inzichten over de AVG om direct mee aan de slag te gaan

Lynsey Dubbeld, Contentstrateeg

LinkedIn profiel

Tijdens de trainingen, opleidingen en congressen van IIR delen docenten en praktijkdeskundigen hun insights en laatste kennis over de AVG. We zetten vier inzichten op een rij om niet te vergeten.

 De komst van de Algemene verordening gegevensbescherming (AVG) leidt tot een stortvloed aan publicaties over compliance. De prioriteiten zijn helder: creëer intern bewustzijn van de veranderingen die op stapel staan, inventariseer de gegevensverwerkingen en ga vervolgens aan de slag met de voorbereidingen op de nieuwe rechten en plichten die de AVG met zich meebrengt.

Een veelgehoorde reden om vaart met de implementatie van de AVG te maken zijn de sancties van de Autoriteit Persoonsgegevens (AP). Als een organisatie zich niet aan de nieuwe privacywetgeving houdt, kan de toezichthouder een boete uitdelen van maximaal 20 miljoen euro of vier procent van de wereldwijde omzet.

Maar er zijn ook andere redenen om voortvarend aan de slag te gaan met de AVG. Hieronder de visies van vier experts:

1) Privacy als kwaliteitscriterium

De dreiging van een boete van de privacy toezichthouder is geen goede invalshoek om dataprotectie op de agenda te zetten, vindt Klaas Bruin, beleidsadviseur bescherming persoonsgegevens bij de Nationale Politie. Dat perspectief doet geen recht aan het belang van gegevensbescherming. “Privacy moet een kwaliteitscriterium zijn om goed en zorgvuldig met de gegevens van burgers, leveranciers en klanten om te gaan.”

FG’s en DPO’s staan volgens Bruin voor de uitdaging om binnen hun organisatie de waarde van privacy voor het voetlicht te brengen, zodat een breed commitment voor AVG-compliance ontstaat. Aandacht voor het thema is op alle niveaus in de organisatie nodig, tot aan het topmanagement toe. “Anders krijg je te horen: Heb je hem weer met zijn privacy. Ik heb nu even geen tijd voor je!”, waarschuwt Bruin. “De Functionaris Gegevensbescherming moet privacy als een product kunnen verkopen.”

2) Privacy als USP

Volgens onderzoek naar Privacy Governance van PwC was in 2017 slechts 12 procent van de Nederlandse organisaties klaar voor de AVG. Ruim eenderde van de 327 ondervraagde organisaties was zelfs niet eens gestart met voorbereidingen. Een recente internationale studie van EY laat zien dat iets meer dan een kwart (27 procent) van de Nederlandse respondenten niet over een plan beschikt om aan de vereisten van de AVG te voldoen. Simone Fennell, privacyadviseur van de gemeente Tilburg en trainer bij Privacy Company, schat dat tachtig procent van de Nederlandse bedrijven en organisaties niet op tijd AVG-proof zal zijn.

De conclusie ligt voor de hand: een organisatie die vóór de inwerkingtreding op 25 mei 2018 (of eerder nog, of juist kort daarna) de privacyzaken op orde heeft, kan zich onderscheiden van vele concurrenten. Privacy als unique selling point (USP) dus.

3) Dataprotectie als langetermijninvestering

Gaat 25 mei 2018 de geschiedenisboeken in als het sleutelmoment in de ontwikkeling van het moderne privacyrecht? Hoe belangrijk de datum ook is, een langetermijnstrategie voor het waarborgen van privacy is veel belangrijker, aldus Simone Fennell. “Het grote probleem is dat veel organisaties de afgelopen jaren onder de Wet bescherming persoonsgegevens (Wbp) te weinig aandacht aan privacy hebben besteed. Ze weten bijvoorbeeld niet welke gegevens ze in huis hebben en hoe ze die verwerken. Dan wordt het lastig om op 25 mei 2018 klaar te zijn,” constateert Fennell. Haar advies: laat zien dat je bezig bent met privacybescherming op de lange termijn en voorkom dat je in grote haast houtje-touwtje alles aan elkaar knoopt om maar op tijd voor de komst van de AVG klaar te zijn.

Privacy is een continu proces, benadrukt Fennell: ook in de maanden en jaren na 25 mei 2018 moeten organisaties steeds kunnen aantonen dat ze voldoen aan de AVG. “Het draait om demonstrating compliance en dat kun je alleen als je onderhoud pleegt. Daaronder valt bijvoorbeeld het up-to-date houden van het ‘register van de verwerkingsactiviteiten’. Maar zorg ook voor een goede governance, zodat verwerkingsactiviteiten een eigenaar hebben die je kunt aanspreken. En voor iedereen moet duidelijk zijn wat de spelregels zijn voor de omgang met persoonsgegevens.”

4) De kosten van slechte gegevensbescherming

Boetes zijn voor de meeste bedrijven op korte termijn de belangrijkste drijfveer om AVG-compatibel te worden, denkt Jean Paul van Schoonhoven, eigenaar van Legal2Practice en docent van diverse IIR-privacy trainingen. Maar het operationele risico zou wel eens kunnen gaan om veel meer dan alleen geld. Van Schoonhoven noemt blijvende reputatieschade als reëel (en kostbaar) risico. “Als je bij een incident het vertrouwen van je klanten kwijtraakt, kost dat zowel direct als indirect geld. Het zijn niet alleen klanten maar ook externe stakeholders zoals de politiek, consumentenorganisaties, de publieke opinie, medewerkers en ondernemingsraden waar rekening mee moet worden gehouden.”

Bovendien kan slechte gegevensbescherming, of het bewust negeren van het belang er van, voor bestuurders of toezichthouders leiden tot bestuurdersaansprakelijkheid. En dat is, zoals Van Schoonhoven met gevoel voor understatement zegt “natuurlijk niet goed voor je cv”.

Geïnspireerd geraakt om als FG of Data Protection Officer (DPO) te werken aan AVG-naleving? Volg dan de multidisciplinaire beroepsopleiding tot Certified Data Protection Officer (CDPO). Na het behalen van het examen mag u de beschermde CDPO-titel voeren en wordt u opgenomen in het register Certified Data Protection Officers.

Twee dagen insights en concrete handvatten voor uw AVG compliance horen? Kom dan op 26 en 27 september 2018 naar de zesde editie van het Dataprotectie & Privacy Congres.

Verder lezen?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten