Winkelmand

Geen producten in de winkelwagen.

De AVG is bijna een half jaar geleden ingevoerd: en nu?

Begin dit jaar ging het nergens anders meer over. Maar sinds 25 mei hoor je niemand meer over de AVG. Was het een storm in een glas water? Of is het juiste die stilte voor de storm waar je je zorgen om moet maken?

Week 40 - AVG hoe gaat het nu

De ophef die begin dit jaar rondom de AVG was ontstaan, vertoonde veel overeenkomsten met de millenniumbug. De verwachting was destijds dat tijdens de eeuwwisseling verkeerslichten op hol zouden slaan, betaalautomaten geblokkeerd werden en computers in plaats van data rook zouden gaan produceren. Maar toen de klok eenmaal 1 januari 2000 aangaf bleef de gevreesde apocalyps uit.

Hetzelfde lijkt nu met de AVG het geval te zijn. Vooraf werden doemscenario’s geschetst van torenhoge boetes die bedrijven zouden moeten betalen en hordes boze klanten die hun gegevens wilden inzien en verwijderen. Bedrijven zouden hun werk niet meer kunnen doen, en over de kop gaan. Maar na vijf maanden is hiervan niks uitgekomen.

Veel heisa dus om niks? Nee. Door alle ruchtbaarheid in de aanloop naar 25 mei zijn bedrijven namelijk veel data-bewuster geworden. In vergelijking met de situatie een jaar geleden gaan bedrijven nu veel beter om met de verwerking van persoonsgegevens. En dat is pure winst.

Klachten ingediend

In de eerste maand na de invoering van de AVG werden er bij de Autoriteit Persoonsgegevens (AP) ruim 600 klachten ingediend. Daarvan heeft de AP er 400 bestudeerd. De meeste klachten gingen over persoonsgegevens die niet werden verwijderd, het niet mogen inzien van informatie en het verstrekken van die gegevens aan andere partijen.

Tot boetes heeft dat niet geleid. Dat is ook geen verrassing, de overheid riep de privacy-waakhond immers eerder op om niet meteen met acceptgiro’s te strooien. Zeker niet waar het kleinere ondernemers betreft. Wel heeft de AP een paar grote organisaties op de korrel. Zo wordt al een poosje onderzoek gedaan naar het privacy-beleid van Facebook.

Maar het blijft niet alleen bij grote Amerikaanse organisaties. AP heeft namelijk aangekondigd binnenkort streekproeven te nemen bij bedrijven in verschillende branches, zoals de industrie, metaal, bouw, handel, horeca, reisorganisaties, communicatie, financiële en zakelijke dienstverlening en in de zorg. Oftewel, vrijwel alle Nederlandse bedrijven lopen het risico binnenkort onder de loep te worden genomen.

Vervolgvragen

Daarnaast speelt de AVG in veel bedrijven wel degelijk een rol van betekenis op de dagelijkse werkvloer. De regelgeving is inmiddels bekend, nu komen de vervolgvragen. Mag ik een lijst met bestaande e-mailadressen gebruiken voor het versturen van een uitnodiging? Is het tot in de lengte der dagen toegestaan om deze visitekaartjes uit te delen? Kunnen we zomaar klantgegevens uitwisselen met een bedrijf met wie we nauw samenwerken? Hoe zit het dan met de verantwoordelijkheid als het een keer misgaat en gegevens op straat komen te liggen?

Juridische dienstverleners krijgen over dit soort privacy-kwesties regelmatig de nodige vragen van bedrijven. De AVG naleven is dan ook niet even een paar vinkjes zetten en er vervolgens niet meer naar omkijken. Privacy-deskundigen wijzen erop dat je daar als organisatie continu mee bezig moet zijn.

Geen klachten

Daarnaast is er natuurlijk ook nog een groep bedrijven dat de nieuwe regelgeving helemaal aan zich voorbij heeft laten gaan. Klanten klagen niet en van boze telefoontjes door de Autoriteit Persoonsgegevens is het niet gekomen. En dan kun je al snel de vraag stellen: waarom zou ik hier alsnog werk van maken?

Die bedrijven kunnen volgens de experts nog wel eens van een koude kermis thuis komen. De kans dat het vroeg of laat toch een keer misgaat is levensgroot. En voor bedrijven die worden getroffen door een serieus datalek en vervolgens niet kunnen aantonen dat ze in ieder geval hun best hebben gedaan om aan de AVG te voldoen, zal de Autoriteit Persoonsgegevens waarschijnlijk weinig clementie hebben.

AVG-proof worden

Hoe dan alsnog AVG-proof worden? Op internet vind je de nodige stappenplannen. Heel simpel gezegd gaat het erom dat je twee dingen regelt. Op de eerste plaats is er het verwerkingsregister, waarin duidelijk wordt welke gegevens je van klanten hebt, wat er in de organisatie met deze gegevens gebeurt, welke weg ze bewandelen en wie er toegang tot heeft.

Daarnaast is er het privacy-statement. Met dit document – dat je op je website publiceert – laat je aan betrokkenen weten wat je met hun gegevens doet. Als je deze twee documenten op orde hebt, dan ben je als organisatie al een heel eind op de goede weg.

Lees ook:

Over de auteur
DAS expert Carolien LasonderCarolien Lasonder werkt bij DAS en is een ervaren allround bedrijfsjurist met als specialisme privacywetgeving en arbeidsrecht. Zij begeleidt juridische projecten en procedures op het gebied van privacy, contractmanagement en arbeidsrecht. Ook is zij coördinator van de juridische adviesdesk van Flexx van DAS. Vragen aan Carolien, stuur een mail naar [email protected].