Vooraleerst was het doel het veilig en verantwoord verwerken en delen van persoonsgegevens. Daarvoor was de AVG hét handvat en ging men hiermee aan de slag. Ieder op zijn eigen manier, afhankelijk van de branche, bedrijfsvoering en noodzaak. Waar sommige organisaties verplicht waren om een Functionaris Gegevensbescherming (FG) aan te stellen, deden andere organisaties dat vrijwillig. De eerste groep wordt inmiddels door de Autoriteit Persoonsgegevens (AP) beoordeeld in hoeverre dit op orde is of wordt gebracht.
Maar de AP heeft nog een andere rol als vraagbaak en klachtenloket voor de burgers van Nederland. Uit het jaarverslag van de AP blijkt dat het een aanzienlijke hoeveelheid vragen en klachten betrof. Ook werden er vaak datalekken gemeld. Het eerste getuigt van het bewustzijn van de rechten die burgers hebben. Het aantal meldingen van datalekken geeft aan dat bedrijven zich bewust zijn van de noodzaak.
In de praktijk
Van de tientallen organisaties die wij in de afgelopen tweeënhalf jaar hebben bijgestaan, was het vertrekpunt meestal te voldoen aan de documentatieverplichting die vanuit de AVG op hen rust; het minimum van de AVG. Het momentum van de introductiedatum van 25 mei 2018 lijkt verdwenen en organisaties die nog stappen te zetten hebben, lijken hierbij de urgentie uit het oog verloren te zijn. Als de AP, zoals aangekondigd, steviger gaat handhaven verwachten wij dat het momentum weer terugkomt.
De ervaring leert dat als men eenmaal begonnen is met het op orde brengen van hun privacy huishouding de mindset verandert. Het gaat dan niet alleen meer over aan de wet voldoen en boetes vermijden, maar steeds vaker over het beveiligen van bedrijfskritische data in het algemeen en persoonsgevoelige data in het bijzonder. Een andere ontwikkeling die we zien, is dat beveiliging van data meer en meer vanuit bedrijfsrisico wordt ingestoken.
Technische en organisatorische maatregelen
De AVG schrijft passende technische en organisatorische maatregelen voor. Dat betekent dat er naast het juridisch aspect ook naar het technische aspect gekeken moet worden. Een ander belangrijk aandachtspunt is bewustwording en de procesinrichting van een organisatie. Het thema informatiebeveiliging staat daarmee steeds vaker centraal binnen een organisatie. Het een kan niet zonder het ander.
Wilt u weten waar uw organisatie staat qua compliance aan de AVG, of heeft u hulp nodig bij de implementatie van de procedures die u wilt inregelen? Bel Paul Schraven, Business Unit Manager DPA Privacy 06-52302240. Klik hier voor meer informatie over onze dienstverlening.
