Dertigplussers herinneren zich de millenniumbug nog wel. Een aangekondigd probleem uit de tweede helft van de jaren negentig, omdat computersystemen uit de twintigste eeuw slechts de laatste twee cijfers van een jaartal gebruikten.
Verkeerslichten zouden hierdoor op hol raken, betaalautomaten worden geblokkeerd en computers in plaats van data rook gaan produceren. Maar toen de klok eenmaal 1 januari 2000 aangaf… bleef de gevreesde apocalyps uit.
Meer bewustzijn
De afgelopen maanden is de millenniumbug en de afloop ervan regelmatig vergeleken met de invoering van de AVG, de nieuwe Europese Privacywet. Gevreesd werd voor het ergste. Uiteindelijk bleef de wereld gewoon doordraaien. Veel heisa om niks, zeggen critici daarom nu.
Maar daar zijn de meeste privacy-specialisten het niet mee eens. Door alle ruchtbaarheid in de aanloop naar 25 mei zijn bedrijven namelijk veel data-bewuster geworden. Zo gaan bedrijven in vergelijking met de situatie een jaar geleden nu veel beter om met de verwerking van persoonsgegevens. En dat is pure winst.
Klachten ingediend
De feiten: in de eerste maand na de invoering van de AVG werden er bij de Autoriteit Persoonsgegevens (AP) ruim 600 klachten ingediend. Daarvan heeft de AP er 400 bestudeerd. De meeste klachten gingen over persoonsgegevens die niet werden verwijderd, het niet mogen inzien van informatie en het verstrekken van die gegevens aan andere partijen.
Tot boetes heeft dat niet geleid. Dat is ook geen verrassing, de overheid riep de privacy-waakhond immers eerder op om niet meteen met acceptgiro’s te strooien. Zeker niet waar het kleinere ondernemers betreft. Wel heeft de AP een paar grote organisaties op de korrel. Zo wordt al een poosje onderzoek gedaan naar het privacy-beleid van Facebook.
Maar het blijft niet alleen bij grote Amerikaanse organisaties. AP heeft namelijk aangekondigd binnenkort streekproeven te nemen bij bedrijven in verschillende branches, zoals de industrie, metaal, bouw, handel, horeca, reisorganisaties, communicatie, financiële en zakelijke dienstverlening en in de zorg. Oftewel, vrijwel alle Nederlandse bedrijven lopen het risico binnenkort onder de loep te worden genomen.
Vervolgvragen
Bovendien is er ook zonder de controles voor mkb’ers iets veranderd. In veel bedrijven speelt de AVG namelijk nog wel degelijk een rol van betekenis op de dagelijkse werkvloer. De regelgeving is inmiddels bekend, nu komen de vervolgvragen.
Mag ik een lijst met bestaande e-mailadressen gebruiken voor het versturen van een uitnodiging? Is het tot in de lengte der dagen toegestaan om deze visitekaartjes uit te delen? En kunnen we zomaar klantgegevens uitwisselen met een bedrijf met wie we nauw samenwerken? Hoe zit het dan eigenlijk met de verantwoordelijkheid als het een keer misgaat en gegevens op straat komen te liggen? Juridische dienstverleners krijgen over dit soort privacy-kwesties regelmatig de nodige vragen van bedrijven.
De AVG naleven is dan ook niet even een paar vinkjes zetten en er vervolgens niet meer naar omkijken. Privacy-deskundigen wijzen erop dat je daar als organisatie continu mee bezig moet zijn.
Geen klachten
Daarnaast is er natuurlijk ook nog een groep bedrijven dat de nieuwe regelgeving helemaal aan zich voorbij heeft laten gaan. Klanten klagen niet en van boze telefoontjes door de Autoriteit Persoonsgegevens is het niet gekomen. En dan kun je al snel de vraag stellen: waarom zou ik hier alsnog werk van maken?
Die bedrijven kunnen volgens de experts nog wel eens van een koude kermis thuis komen. De kans dat het vroeg of laat toch een keer misgaat is levensgroot. En voor bedrijven die worden getroffen door een serieus datalek en vervolgens niet kunnen aantonen dat ze in ieder geval hun best hebben gedaan om aan de AVG te voldoen, zal de Autoriteit Persoonsgegevens waarschijnlijk weinig clementie hebben.
AVG-proof worden
Hoe dan alsnog AVG-proof worden? Op internet vind je de nodige stappenplannen. Heel simpel gezegd gaat het erom dat je twee dingen regelt. Op de eerste plaats is er het verwerkingsregister, waarin duidelijk wordt welke gegevens je van klanten hebt, wat er in de organisatie met deze gegevens gebeurt, welke weg ze bewandelen en wie er toegang tot heeft.
Daarnaast is er het privacy-statement. Met dit document – dat je op je website publiceert – laat je aan betrokkenen weten wat je met hun gegevens doet. Als je deze twee documenten op orde hebt, dan ben je als organisatie al een heel eind op de goede weg.
Lees ook:
- Zo voorkom je dat je bedrijf gehackt wordt
- Deze ondernemer laat hackers zijn data-beveiliging aanvallen
- ‘We waren het doelwit van een ransom-aanval. Totale schade is zeker 60.000 euro’
- Maak je bedrijf binnen één maand AVG-proof
Carolien Lasonder
Carolien werkt bij DAS en is een ervaren allround bedrijfsjurist met als specialisme privacywetgeving en arbeidsrecht. Zij begeleidt juridische projecten en procedures op het gebied van privacy, contractmanagement en arbeidsrecht. Ook is zij coördinator van de juridische adviesdesk van Flexx van DAS. Vragen aan Carolien, stuur een mail naar [email protected].