AVG: Ruim de helft van de organisaties is nog niet voorbereid

Meer dan de helft van de bedrijven die met de Algemene Veror­de­ning Gege­vens­be­scher­ming (AVG) te maken krijgen is hier nog niet op voor­be­reid. Dit terwijl de wetgeving vanaf mei 2018 van kracht is en bedrijven die niet aan de AVG voldoen hoge boetes opgelegd kunnen krijgen.

Dit blijkt uit onderzoek van Gartner. De AVG vervangt de Data Protec­tion Directive 95/​46/​EC en trekt de priva­cy­wet­ge­ving in alle EU-lidstaten gelijk. Gartner adviseert bedrijven tijdig zeker te stellen dat zij voldoen aan de eisen van de nieuwe AVG. Om bedrijven hiermee te helpen heeft het onder­zoeks­bu­reau vijf stappen uiteen­gezet die bedrijven hiervoor kunnen doorlopen.

1. Bepaal uw rol onder de AVG

Iedere orga­ni­satie die besluit waarom en hoe persoon­lijke gegevens worden verwerkt kan worden aange­merkt als ‘data­be­heerder’. Dit betekent dat de AVG niet alleen impact heeft op bedrijven die in de EU zijn gevestigd, maar ook op alle orga­ni­sa­ties buiten de EU die persoon­lijke gegevens verwerken voor de levering van goederen en diensten aan de EU of het gedrag van Europese gebrui­kers monitoren. Data­be­heer­ders zijn verplicht een verte­gen­woor­diger aan te stellen die als contact­per­soon optreedt voor zowel Europese burgers als de Data Protec­tion Authority (DPA).

2. Stel een Data Protection Officer aan

In veel gevallen zijn orga­ni­sa­ties verplicht een Data Protec­tion Officer (DPO) aan te stellen, die toezicht houdt op de naleving van de AVG. Dit is zeker verplicht als het gaat om een publieke orga­ni­satie, een orga­ni­satie die acti­vi­teiten uitvoert die regel­ma­tige en syste­ma­ti­sche moni­to­ring van gebrui­kers vereisen of op grote schaal persoon­lijke gegevens verwerken. Gartner merkt op dat groot­schalig niet altijd hoeft te betekenen dat data van honderd­dui­zenden burgers wordt verwerkt; ook in andere gevallen kan data­ver­wer­king worden aange­merkt als grootschalig.

3. Leg verantwoordelijkheden vast

Gartner conclu­deert in zijn onderzoek dat zeer weinig orga­ni­sa­ties al ieder proces hebben geïden­ti­fi­ceerd waarin persoon­lijke gegevens worden verwerkt. Het onder­zoeks­bu­reau wijst erop dat in de toekomst vooraf aan iedere nieuwe data­ver­wer­king moet worden vast­ge­legd voor welk doel deze data is verzameld, welke rele­vantie deze gegevens hebben en welke kwaliteit de data heeft. Daarnaast moeten bedrijven gebrui­kers voortaan expliciet om toestem­ming vragen om hun gegevens te mogen verza­melen en verwerken. Het is niet toege­staan hierbij gebruik te maken van vooraf aange­vinkte hokjes.

4. Breng grensoverschrijdende datastromen in kaart

Onder de AVG mogen bedrijven data versturen naar alle 28 EU-lidstaten, evenals Noorwegen, Liech­ten­stein en IJsland. Daarnaast bieden 11 landen (Andorra, Argen­tinië, Canada, Faeröer Eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Zwit­ser­land en Uruguay) volgens de Europese Commissie een hoog genoeg niveau van data­be­scher­ming om data met deze landen uit te kunnen wisselen. Wie echter data wil uitwis­selen met andere landen zal hiervoor bepaalde garanties moeten leveren. Dit kan door gebruik te maken van Binding Corporate Rules (BCR’s) of standaard contrac­tuele clausules (Europese modelcontracten).

5. Bereid uw organisaties voor op gebruikers die nieuwe rechten benutten

De rechten van gebrui­kers worden door de AVG uitge­breid. Het gaat hierbij om het recht om vergeten te worden, het recht op datapor­ta­bi­li­teit en het recht om geïn­for­meerd te worden (over bijvoor­beeld een datalek). Gartner adviseert bedrijven zich nu alvast voor te bereiden hierop, zodat zij adequaat kunnen reageren indien gebrui­kers bijvoor­beeld hun data opvragen om deze aan een andere orga­ni­satie te verstrekken of indien onver­hoopt een datalek optreedt.