AVG

Wat doe je als bedrijf als de politiek in 2016 een Europese verordening aanneemt die in 2018 jouw bedrijfsvoering overal raakt met 99 nieuwe regels en die je enorm veel geld gaat kosten om te zorgen dat je bedrijf aan de nieuwe regels volstaat? Het antwoord is heel simpel: NIETS!
Dat is zo’n beetje de reactie van alle lidstaten en ondernemingen in Europa met het invoeren van de GDPR of in het Nederlands de Algemene Verordening Gegevensbescherming. De wet die ons als individu beter moet beschermen tegen misbruik van je persoonsgegevens. Bescherming die nodig is omdat de IT-tech-reuzen inmiddels ongebreideld je internetgedrag met je persoonsgegevens kunnen verzamelen en doorverkopen. Maar helaas, de wet strekt veel verder.

Het is niet dat de wet geen effect kan hebben op je handel en wandel. De boetes die de Autoriteit Persoonsgegevens kan opleggen zijn megagroot. Er kunnen bij een overtreding voor grote bedrijven boetes worden opgelegd tot 4% van de internationale omzet met een maximum van 40 miljoen euro. Bij een maximale beboeting gaat elk bedrijf onderuit.
In 2015 waren de contouren van de wet bekend. In 2016 in mei is de wet in Europa aangenomen, waarmee ze op 25 mei 2018 effectief wordt. Twee jaar had dus iedereen de tijd om zijn winkel op orde te krijgen.

Waarom is niemand nauwelijks gaan acteren?

Om te beginnen wist de gewone burger van niks. De burger, die vrolijk zijn persoonsgegevens zelf deelt met Jan en Alleman om zijn tennismaatjes te vinden, nieuwtjes te delen en te bekijken wie zijn collega’s zijn in koor, vereniging of werkkring, wist van niets. De zeer bescheiden PR campagne vooral gevoerd door IT-consultancy bedrijven richtte zich voornamelijk op grote bedrijven met slogans als: “Bent u al klaar voor de AVG?”
Afgezien dat niemand wist wat het inhield, was deze wervende tekst vooral iets voor later. DE CEO’s van grote bedrijven hebben wel clubjes laten formeren om vast te stellen waar hun zwakke plekken zitten en vooral ingestoken op een procedurele toepassing van deze wet, als het zover is. Geen grote aanpassingen alstublieft. We klimmen net uit een diep dal en als we dit allemaal ‘netjes’ moeten doen in de systemen gaat het miljoenen kosten. En wie gaat dat betalen? Daar zullen de aandeelhouders niet blij van worden.
Als echte ondernemers hebben ze de risico’s ingeschat.
De wetgeving biedt ruimte voor interpretatie. Dat biedt dus ook juridisch ruimte als er een overtreding wordt geconstateerd en er een conflict dreigt. Er is echter nog geen jurisprudentie, dus wellicht kunnen de slimme advocaten van het bedrijf een boete wel voorkomen.
Ik zie dat mijn collega-ondernemers ook niet zo hard lopen, waarom ik dan wel? De Autoriteit Persoonsgegevens is nog een erg kleine partij en wat is de kans dat ze mij juist uitzoeken om door te lichten?

Ik ga ervan uit dat als ze langskomen en onvolkomenheden traceren, ze het vooralsnog houden bij een waarschuwing. Dat geeft mij de tijd om de echte maatregelen uit te stellen.
Als ik maar kan aantonen dat ik ermee bezig ben zullen ze het goed vinden. Daarom heb ik al wel een inventarisatie laten maken waar de pijnpunten zitten en de meest noodzakelijke zaken zijn (op papier) geregeld.
Aldus de ondernemer.

Ik was vorige week op een AVG-congres waar zo’n tweehonderd grote bedrijven werden bijgepraat. Van al deze bedrijven bleek dat er nog geen 5% vond dat ze klaar zouden zijn voor 25 mei.
Nu het uur u nadert blijkt dat bijvoorbeeld ook de zingende en tennissende burger hierdoor getroffen wordt, want zijn vereniging of stichting moet in een privacyverklaring aangeven hoe de club omgaat met de persoonsgegevens van de club: hoe worden ze geadministreerd, gearchiveerd en eventueel gedistribueerd. De clubs mogen persoonsgegevens niet meer openbaar maken, als de betreffende personen niet expliciet hebben aangegeven dat ze dit goed vinden. Voor elk doel moet afzonderlijk toestemming worden verleend. Ook heeft het lid inzagerecht tot de gehanteerde persoonsgegevens.

Dat betekent huiswerk voor elke vereniging of stichting. Alle leden zullen individueel moeten aangeven of ze akkoord gaan met de grondslagen van het gebruik. Geef je geen toestemming, dan kan de vereniging jou niet opnemen in openbare ledenlijsten, je snuit niet plaatsen in smoelenboeken en ontvang je geen verjaardagskaartje meer van de vereniging. Word daar de wereld beter van?

Het lijkt absurd, maar dit is dus ook een effect van deze nieuwe wet, die pas sinds een paar weken aandacht krijgt bij het grote publiek en over drie weken van kracht is.
Als je als stichting of vereniging ook nog eens een website hebt en daar met formulieren persoonsgegevens opvraagt om bijvoorbeeld deelname voor iets te regelen, moet je ook aantonen dat je aan de wet voldoet, door te zorgen dat de gegevens versleuteld zijn, nadat ze zijn ingevoerd. Op deze wijze kunnen hackers wellicht wel de ingevoerde gegevens stelen, maar zijn ze niet te lezen. Dat kun je als vereniging of stichting aanpassen of aan laten passen door een Secure Socket Layer aan te leggen. Dat is een certificaat dat gekoppeld is aan je site die versleuteling verzorgt en invoergegevens voor derden onleesbaar maakt. Het adres begint dan met “https” in plaats van “http”. Als je in Google een site selecteert waar in de adresbalk als eerste een rondje staat met een letter “i” betekent dat er informatie is over de veiligheid van de site. Klik je hierop dan blijkt dat Google vindt dat de site niet veilig is om persoonsgegevens achter te laten. Staat er in de adresbalk in het groen “Veilig”, dan kun je dit gerust wel doen.

Kortom, voor vele kleine ondernemers, verenigingen en stichtingen is er nog veel werk aan de winkel. En hier is nu niet altijd tijd of geld beschikbaar. Opvallend is dat iedereen zich om 2 voor 12 pas druk maakt over deze wet. De impact is enorm. Allerlei overkoepelende organisaties zijn pas net begonnen om hun leden te adviseren. De Autoriteit Persoonsgegevens en de overheid hebben veel te laat gericht campagne gevoerd om iedereen bewust te maken van de gevolgen.
De vraag is wat er na 25 mei gaat gebeuren. Wacht de Autoriteit Persoonsgegevens tot er klachten komen van burgers voordat men zaken gaat checken bij ondernemers, scholen, verenigingen of stichtingen? Of gaat men min of meer preventief te werk en gaat men invallen doen bij bedrijven, waarvan ze weten dat er ook al overtredingen zijn geconstateerd met de hantering van de huidige wet bescherming persoonsgegevens? En worden deze dan op het schild gehesen als schrikbeeld voor de overige ondernemers?

We zullen het wel zien.

 

Beoordeel dit bericht

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *