Meer dan de helft van de bedrijven is niet voorbereid op AVG

Ruim de helft van de bedrijven waarop de Algemene Verordening Gegevensbescherming (AVG) impact heeft is niet voorbereid op de invoering van deze Europese privacywetgeving. Dit terwijl de wetgeving al vanaf mei 2018 van kracht is.

Dit blijkt uit onderzoek van Gartner. De AVG gaat de Data Protection Directive 95/46/EC vervangen en is bedoeld om de privacywetgeving in alle lidstaten van de Europese Unie (EU) gelijk te trekken. Hierdoor moet de privacy van inwoners van de EU voortaan beter beschermd zijn. Gartner adviseert bedrijven zeker te stellen dat zij voldoen aan de AVG op het moment dat deze wordt ingediend. Hiervoor heeft het onderzoeksbureau een vijftal stappen uiteengezet.

1. Bepaal uw rol onder de AVG

Iedere organisatie die beslist waarom en hoe persoonlijke data wordt verwerkt is in essentie een ‘databeheerder’. De AVG heeft hierdoor niet alleen impact op bedrijven in de Europese Unie, maar ook op alle organisaties buiten de EU die persoonlijke gegevens verwerken voor de levering van goederen en diensten aan de EU of het gedrag van individuen binnen de EU monitoren. Deze organisaties moeten een vertegenwoordiger aanstellen die als contactpersoon functioneert voor de Data Protection Authority (DPA) en Europese burgers.

2. Stel een Data Protection Officer aan

Veel organisaties zijn verplicht een Data Protection Officer (DPA) aan te stellen. Dit is zeker van belang indien een organisatie een publieke organisaties is, activiteiten uitvoert die regelmatige en systematische monitoring vereisen of op grote schaal persoonlijke data verwerken. Grootschalig hoeft overigens niet te betekenen dat de data van honderdduizenden burgers wordt verwerkt; ook het verwerken van kleinere hoeveelheden data kan als grootschalige dataverwerking worden aangemerkt.

3. Leg verantwoordelijkheden vast voor alle dataverwerkende activiteiten

Zeer weinig organisaties hebben al ieder proces geïdentificeerd waarin met persoonlijke gegevens wordt gewerkt. In de toekomst moet vooraf aan een nieuwe dataverwerking worden vastgelegd welke kwaliteit en relevantie de data heeft, evenals het doel waarmee deze is verzameld. Dit helpt compliance met de AVG aan te tonen. Ook is het noodzakelijk gebruikers waarover data wordt verzameld voortaan hiervoor expliciet om toestemming te vragen. Het is niet toegestaan hierbij gebruik te maken van vooraf aangevinkte hokjes; gebruikers moeten duidelijk en expliciet toestemming geven voor dataverwerking.

4. Controleer grensoverschrijdende datastromen

Dataoverdracht naar alle 28 EU-lidstaten blijft toegestaan, evenals dataoverdracht naar Noorwegen, Liechtenstein en IJsland. Daarnaast heeft de Europese Commissie 11 andere landen aangemerkt als landen die een voldoende niveau van databescherming bieden om gegevens mee uit te wisselen. Wie data wil uitwisselen met andere landen zal hiervoor de juiste garanties moeten leveren. Dit kan door Binding Corporate Rules (BCR’s) of standaard contractuele clausules (Europese modelcontracten) in te zetten.

5. Bereid u voor op gebruikers die hun nieuwe rechten benutten

De AVG breidt de rechten van gebruikers uit. Denk hierbij aan het recht om vergeten te worden, het recht op dataportabiliteit en het recht om geïnformeerd te worden, bijvoorbeeld over een datalek. Gartner waarschuwt dat organisaties zich zullen moeten voorbereiden, zodat zij adequaat kunnen reageren op datalekken en burgers die hun nieuwe rechten willen benutten.