AVG: Meer dan de helft van de bedrijven is onvoldoende voorbereid

Meer dan de helft van de bedrijven die met de Algemene Verordening Gegevensbescherming (AVG) te maken krijgen is hier nog niet op voorbereid. Dit terwijl de wetgeving vanaf mei 2018 van kracht is en bedrijven die niet aan de AVG voldoen hoge boetes opgelegd kunnen krijgen.

Dit blijkt uit onderzoek van Gartner. De AVG vervangt de Data Protection Directive 95/46/EC en trekt de privacywetgeving in alle EU-lidstaten gelijk. Gartner adviseert bedrijven tijdig zeker te stellen dat zij voldoen aan de eisen van de nieuwe AVG. Om bedrijven hiermee te helpen heeft het onderzoeksbureau vijf stappen uiteengezet die bedrijven hiervoor kunnen doorlopen.

1. Bepaal uw rol onder de AVG

Iedere organisatie die besluit waarom en hoe persoonlijke gegevens worden verwerkt kan worden aangemerkt als ‘databeheerder’. Dit betekent dat de AVG niet alleen impact heeft op bedrijven die in de EU zijn gevestigd, maar ook op alle organisaties buiten de EU die persoonlijke gegevens verwerken voor de levering van goederen en diensten aan de EU of het gedrag van Europese gebruikers monitoren. Databeheerders zijn verplicht een vertegenwoordiger aan te stellen die als contactpersoon optreedt voor zowel Europese burgers als de Data Protection Authority (DPA).

2. Stel een Data Protection Officer aan

In veel gevallen zijn organisaties verplicht een Data Protection Officer (DPO) aan te stellen, die toezicht houdt op de naleving van de AVG. Dit is zeker verplicht als het gaat om een publieke organisatie, een organisatie die activiteiten uitvoert die regelmatige en systematische monitoring van gebruikers vereisen of op grote schaal persoonlijke gegevens verwerken. Gartner merkt op dat grootschalig niet altijd hoeft te betekenen dat data van honderdduizenden burgers wordt verwerkt; ook in andere gevallen kan dataverwerking worden aangemerkt als grootschalig.

3. Leg verantwoordelijkheden vast

Gartner concludeert in zijn onderzoek dat zeer weinig organisaties al ieder proces hebben geïdentificeerd waarin persoonlijke gegevens worden verwerkt. Het onderzoeksbureau wijst erop dat in de toekomst vooraf aan iedere nieuwe dataverwerking moet worden vastgelegd voor welk doel deze data is verzameld, welke relevantie deze gegevens hebben en welke kwaliteit de data heeft. Daarnaast moeten bedrijven gebruikers voortaan expliciet om toestemming vragen om hun gegevens te mogen verzamelen en verwerken. Het is niet toegestaan hierbij gebruik te maken van vooraf aangevinkte hokjes.

4. Breng grensoverschrijdende datastromen in kaart

Onder de AVG mogen bedrijven data versturen naar alle 28 EU-lidstaten, evenals Noorwegen, Liechtenstein en IJsland. Daarnaast bieden 11 landen (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay) volgens de Europese Commissie een hoog genoeg niveau van databescherming om data met deze landen uit te kunnen wisselen. Wie echter data wil uitwisselen met andere landen zal hiervoor bepaalde garanties moeten leveren. Dit kan door gebruik te maken van Binding Corporate Rules (BCR’s) of standaard contractuele clausules (Europese modelcontracten).

5. Bereid uw organisaties voor op gebruikers die nieuwe rechten benutten

De rechten van gebruikers worden door de AVG uitgebreid. Het gaat hierbij om het recht om vergeten te worden, het recht op dataportabiliteit en het recht om geïnformeerd te worden (over bijvoorbeeld een datalek). Gartner adviseert bedrijven zich nu alvast voor te bereiden hierop, zodat zij adequaat kunnen reageren indien gebruikers bijvoorbeeld hun data opvragen om deze aan een andere organisatie te verstrekken of indien onverhoopt een datalek optreedt.