In 2018, toen de AVG in werking trad voor Nederland, heeft u vast uw bedrijf privacy proof gemaakt. Maar wat is er sindsdien gebeurd?
Het was een hot topic eind mei 2018, die Algemene Verordening Gegevensbescherming (“AVG” ofwel de GDPR, de General Data Protection Regulation). De meeste bedrijven hadden tot nu toe weinig aandacht besteed aan privacy. Voorheen was er echter de Europese Privacy Richtlijn, waarbij de privacy voor Nederland omgezet was in nationale wetgeving, de Wet Bescherming Persoonsgegevens ("Wbp). De AVG is echter een verordening, wat betekent dat deze directe werking heeft en dus niet hoeft te worden omgezet in Nederlandse wetgeving.
De paniek brak uit! Bedrijven dienden opeens iets te doen met deze nieuwe strengere privacyregels. Velen, waaronder vast ook uw bedrijf, zorgde snel dat er wat kwam: een privacy statement met cookie uitleg op de website; een register (indien van toepassing) snel opgetuigd; het in kaart brengen van de toen bestaande systemen welke persoonsgegevens bevatten; en een uurtje training voor de werknemers over wat deze AVG nu eigenlijk in het kort inhield. Zo, en dan nu weer over tot de orde van de dag!
Helaas, zoals u al voelt aankomen, werkt het zo niet. Hoewel de AVG sinds de invoering niet veranderd is qua inhoud, is er gaandeweg wel meer duidelijk geworden over hoe deze wet te interpreteren. Aangezien de meeste regels niet geheel nieuw waren, had menig jurist of IT-er van tevoren niet veel met de privacy-wetgeving te maken gehad. Dat werd nu wel anders.
Mijn ervaringen als Privacy Officer bij een multinational zijn soortgelijk. Ik begon met het snel op z'n plek zetten van een privacy statement en een cookie policy. De toestemming van klanten voor nieuwsbrieven en verwerking van gegevens van sollicitanten, samen met de privacy notices op de website, werden geregeld. Daarnaast gingen we de IT-processen en verwerkers in kaart brengen om gaandeweg een register op te bouwen en verwerkersovereenkomsten af te sluiten met de bestaande en nieuwe verwerkers.
Na een jaar bleek echter de training aan werknemers opnieuw te moeten plaatsvinden. De cookies bleken zodanig veranderd, dat de cookie policy moest worden aangepast. IT-processen in kaart brengen bleek helemaal niet zo makkelijk als gedacht, laat staan om te identificeren wie er nu daadwerkelijk verwerker was of niet. En die toestemming van klanten en sollicitanten? Tja, de procedure bleek vergeten of niet bekend bij nieuwe werknemers, dus die werd niet (meer) gevolgd.
Kortom, uit ervaring kan ik u vertellen dat het in 2021 hoognodig is om opnieuw naar de privacy binnen uw bedrijf te kijken. Helaas is het niet zo sexy als omzet draaien, maar het voorkomen van de nadelige effecten van het niet voldoen aan de AVG (zoals een boete, een datalek of reputatieschade) lijkt me toch wel van groot belang.
Wellicht kan ik u helpen met het uitvoeren van een privacy scan, om te zien wat er nodig is om uw bedrijf voor de komende tijd weer privacy-proof te laten zijn. Een update-training van uw personeel behoort hierbij uiteraard tot de mogelijkheden.
Voorkomen is beter dan genezen, dus laat om de paar jaar een privacyscan uitvoeren en u houdt uw bedrijf privacy-proof!
Add comment
Comments