Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit betekent dat vanaf dat moment in heel Europa dezelfde regels gelden wat betreft de bescherming van persoonsgegevens. Ook kan de Autoriteit Persoonsgegevens boetes opleggen wanneer deze regels niet worden nageleefd. Op Riskworld schreven wij hier al eerder verschillende artikelen over. Regels omtrent bescherming van persoonsgegevens zijn niet nieuw, de Nederlandse Wet bescherming van persoonsgegevens geldt al langer. De AVG zal de Nederlandse Wbp echter gaan vervangen, waarmee meer verantwoordelijkheid wordt neergelegd bij bedrijven. Punt is alleen dat heel veel bedrijven, met name in het mkb, zich eerder niet voldoende hebben ingespannen te voldoen aan de Nederlandse wetgeving. Nu zijn zij genoodzaakt een flinke inhaalslag te maken om de informatiebeveiliging en privacy op orde te krijgen, zodat deze in lijn is met de Europese regels.
Bijna 60% van het MKB is niet op de hoogte van nieuwe verplichtingen
Uit een eerdere peiling van MKB Nederland onder ruim 3200 bedrijven bleek eerder dat zes op de tien mkb-bedrijven er niet van op de hoogte is dat ze over acht maanden moeten voldoen aan de nieuwe verplichtingen. Het niet voldoen kan leiden tot boetes, schadeclaims en wellicht ook omzetverlies door reputatieschade. De voorlichting van de overheid wordt als slecht tot heel slecht beoordeeld. Vijftien procent van de ondervraagde mkb-bedrijven denkt zelfs dat de AVG niet voor hen geldt, aldus MKB Nederland. Dit is een interessante ontwikkeling nu ook deze groep, al dan niet nog meer vatbaar is voor datalekken omdat ze werken met verouderde systemen en in veel gevallen nog geen vorm hebben gegeven aan kantoorautomatisering.
Data-economie
Ook het mkb moet zich bewust worden van het feit dat we in een economie leven waar persoonsgegevens veel waard zijn. De technologische ontwikkelingen gaan hard en data verwerkende bedrijven zijn grote spelers in de markt geworden. Een markt waarin handel in persoonsgegevens en big data – analyses in nagenoeg alle sectoren worden toegepast.
Maatschappelijk verantwoord omgaan met persoonsgegevens moet trendy en cool worden. Net zoals we het belang hebben ingezien van milieubewust leven, zouden we dat nu ook moeten doen met privacy. Wanneer de AVG van kracht is gaat de markt, voor wat privacy betreft, over van ´trust me, ik heb het allemaal op orde’ naar ´show me, ik laat u zien dat ik er alles aan doe om uw privacy te waarborgen’.
Bewustzijn
De AVG kent een erg breed toepassingsgebied, elke organisatie welke persoonsgegevens van EU burgers verwerkt zal binnen het kader van de wet moeten handelen. Dit geldt dus ook voor de kleine mkb-ers en zzp’ers die persoonsgegevens verwerken, zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsadministratie. Dit betekent dat men tot mei 2018 de tijd heeft om de documentatie op orde te krijgen, verwerkersovereenkomsten op te stellen, een verwerkingsregister in te richten, een gegevenseffectbeoordeling (PIA) uit te voeren en indien nodig een Functionaris Gegevensbescherming aan te stellen. Vanaf dat moment moeten organisaties aan kunnen tonen dat ze de afgelopen twee jaar intern bezig zijn geweest met de bewustwording en implementatie van de nieuwe wet.
De implementatie van de AVG is dan ook geen einddoel. Het is een mogelijkheid tot een mooie nieuwe start, waar niet langer meer mee gewacht moet worden. In veel gevallen vereist dit een heuse cultuuromslag, ook in het mkb, nu voor het bewaren en verwerken van persoonsgegevens strengere normen gaan gelden. Technische, administratieve en organisatorische maatregelen zijn hiervoor nodig. Lang niet iedereen treft deze maatregelen, maar gelukkig komen steeds meer bedrijven in beweging.
De Autoriteit Persoonsgegevens
In de afgelopen maanden is de Autoriteit Persoonsgegevens voornamelijk zichtbaar geweest in het nieuws door te informeren over de boetes welke zullen worden opgelegd bij het niet naleven van de AVG. Belangrijk is nu dat de aandacht gaat naar concrete stappen die ondernomen moeten worden, in plaats van het bang maken van de markt over mogelijke sancties. Het voldoen aan de AVG is geen eenmalige actie en elke organisatie zal zich op haar eigen manier moeten inspannen. De AP beantwoord tijdens het telefonisch spreekuur vragen over de toepassing van de AVG, op de website is meer informatie te vinden. Daarnaast kunnen consultants van Consignium u helpen met het op orde brengen van uw documentatie, maar ook het met inrichten van een Privacy Management Systeem.
Bron: MKB Nederland