Magnifying glass Close

De AVG: nieuwe regels nu blijkt dat slechts 31% van de bedrijven compliant is

De Algemene verordening gegevensbescherming (AVG/GDPR) is inmiddels anderhalf jaar van kracht. Toch worstelen veel organisaties er nog altijd mee. Het Capgemini Research Institute heeft vastgesteld dat slechts 31% van de ondervraagde bedrijven in Nederland voldoet aan de AVG. Reden voor de minister voor Rechtsbescherming om de stand van zaken te evalueren in een brief aan de Kamer. Met daarbij een aantal verbetervoorstellen.

Anderhalf jaar AVG: de stand van zaken 

In mei 2018 werd de AVG van kracht en stond dit onderwerp hoog op ieders agenda. Er werden verwerkingsregisters gemaakt, privacy verklaringen opgesteld en verwerkingsovereenkomsten gesloten. Het bleek allesbehalve een eenvoudige opgave om AVG-compliant te worden. Dat blijkt ook wel uit het onderzoek van Capgemini Research Institute. Slechts 31% van de bedrijven in Nederland zegt te voldoen aan de AVG.

Privacy is niet alleen een vraagstuk voor bedrijven. Iedereen is zich bewuster geworden van het recht op privacy. Zo hebben in de eerste helft van dit jaar 19.020 mensen en organisaties contact opgenomen met de Autoriteit Persoonsgegevens. De klachten gingen voornamelijk over privacy. Het aantal privacy klachten is met 59% gestegen ten opzichte van het laatste halfjaar van 2018.

Kostenpost 

Een goede AVG-aanpak kost tijd, kennis en mankracht. Een onderzoek door ICSA gaf aan dat 78 procent van de bedrijven vindt dat de AVG een ‘zware last’ op de beschikbare middelen is. Hierdoor blijken grote bedrijven vaker compliant te zijn. Zij stellen hogere budgetten beschikbaar voor AVG-compliancy. Voor kleinere bedrijven is het echter net zo belangrijk zich goed te beschermen tegen bijvoorbeeld verlies van klantgegevens of een cyberaanval.

Zeker nu blijkt dat dataverlies of -diefstal steeds meer kost. De kosten van datalekken zijn de afgelopen 5 jaar met 12% gestegen blijkt uit onderzoek van IBM naar de financiële impact van datalekken. De gemiddelde kosten voor een datalek zijn 3,92 miljoen. Daarnaast riskeren organisaties die zich niet aan de AVG houden ook nog eens een boete van maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Verbeterpunten voor de toekomst

Nu we ongeveer anderhalf jaar ervaring hebben met de privacywetgeving, gaan ook de wetgevers evalueren én waar nodig met nieuwe aanwijzingen of aanpassingen komen. Er is immers nog veel onduidelijk en een groot deel van de bedrijven is nog altijd niet compliant. Dat vraagt om nieuwe maatregelen.

Wijzigingen in de Nederlandse privacy wetgeving

De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) geeft in Nederland uitvoering aan de AVG. De minister heeft vastgesteld dat wijziging wenselijk is op een aantal punten in de UAVG. Daarvoor wordt een wetsvoorstel ‘aanpassing UAVG’ gemaakt.

Volgens de minister is het bijvoorbeeld van belang om voor bepaalde verwerkingen een explicietere grondslag voor de verwerking van gegevens op te nemen. Denk aan:

  • verwerking bijzondere categorieën persoonsgegevens door accountants ter uitvoering van wettelijke controletaken;
  • toepassing biometrie voor identificatie van personen om rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten te verlenen;
  • verwerking bijzondere categorieën persoonsgegevens door het Huis van klokkenluiders ter uitvoering van hun wettelijke advies en onderzoekstaken;
  • verwerking van gezondheidsgegevens door patiëntverenigingen voor intern gebruik.

Onderzoek noodzakelijkheid

Voorbeelden van onderwerpen die onderzoek behoeven of waarvoor aanpassing van de wetgeving noodzakelijk is:

  • gebruik van het BIG-nummer buiten de wet BIG;
  • adequate grondslag voor profilering door banken;
  • gebruik van het BSN-nummer door ondernemers, in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.

Andere oplossingen

Er zijn ook knelpunten waar een oplossing voor is zonder dat de wetgeving hiervoor aangepast hoeft te worden. Bijvoorbeeld:

  • aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boete aan verwerkers opgelegd door de AP;
  • verduidelijking van de verhouding Archiefwet tot de AVG;
  • meer duidelijkheid en rechtszekerheid bij relatief eenvoudige standaardverwerkingen voor kleinere verwerkingsverantwoordelijken.

Wijzigingen in de Europese wetgeving

In Europa is men ook volop bezig met het evalueren van de AVG in de praktijk. Voorbeelden van door Nederland aangebrachte onderwerpen zijn:

  • administratieve verplichtingen voor kleine bedrijven verlichten door versoepeling van de plicht voor het aanleggen van een verwerkingsregister;
  • ongelijkheid tussen Europese landen verminderen door bijvoorbeeld uniformering van bepaalde aanvullende regels, richtlijnen en werkwijzen (bijv. meldformulier voor datalekken).

Voor 25 mei 2020 dient de Europese Commissie een evaluatieverslag aan te bieden aan het Europees Parlement en de Raad over de evaluatie en toetsing van de AVG. Voor die tijd moeten alle voorstellen zijn aangeleverd.

Wat betekent dit voor u?

Voor nu wordt u nog altijd verwacht zich aan de bestaande AVG-regels te houden. Daarnaast is het belangrijk om de Nederlandse en Europese ontwikkelingen rondom de (U)AVG te volgen. Het nieuwe wetsvoorstel dat nu in de maak is, kan zeker gevolgen hebben voor de toekomstige uitvoering van de AVG binnen uw organisatie.

Partner van Inkoperscafé
Partner van Inkoperscafé

Reacties

Partner van Inkoperscafé
Sluiten

Inloggen met

of met e-mailadres