Redenen om compliant te willen zijn
Er zijn een aantal duidelijk aanwijsbare redenen om in hoge mate compliant te willen zijn aan de regelgeving rond data privacy:
- Allereerst is steeds duidelijker zichtbaar dat klanten verwachten dat er op een ethisch verantwoorde manier wordt omgegaan met hun persoonsgegevens. Organisaties die dit niet aantoonbaar voor elkaar hebben, zullen steeds vaker merken dat de klant een deur verder gaat.
- Daarnaast is de kans groot dat, als gevolg van een slechte invoering van de voorgeschreven maatregelen, er vroeg of laat financiële schade ontstaat als gevolg van bijvoorbeeld een ernstig data-lek. En dan gaat het hier niet over eventueel opgelegde boetes, maar over reputatieschade en te betalen schadevergoedingen vanwege artikel 82 AVG. De eerste jurisprudentie hierover is al beschikbaar en geeft stof tot nadenken. Daarbij moet bedacht worden dat een data-lek of onrechtmatige verwerking maar al te vaak betrekking heeft op een groot aantal betrokkenen tegelijk.
- Wellicht de belangrijkste reden om op de juiste manier te voldoen aan de betreffende wet- en regelgeving is het feit dat AVG-compliant zijn tussen organisaties en bedrijven onderling inmiddels een hygiënefactor is geworden. In de praktijk van alledag worden volop persoonsgegevens gedeeld en namens elkaar verwerkt met een hoge mate van ketenaansprakelijkheid als gevolg. Organisaties nemen elkaar meer en meer de maat als het gaat om aantoonbaar privacy-management. Onder andere bij aanbestedingstrajecten is dit inmiddels goed zichtbaar.
Ook de MenA wereld heeft in haar acquisitie- en afsplitsingspraktijk ontdekt dat de mate waarin een organisatie aanwijsbaar compliant is aan de wetgeving soms een stevige invloed kan hebben op de waardebepaling van een onderneming. Daarom maakt een paragraaf over dataprivacy en onderzoek naar de toepassing van de AVG regels steeds vaker deel uit van een goed en gedegen Due Diligence onderzoek.
De AVG verplichting – van documenteren naar implementeren
Bij veel organisaties bestaat inmiddels wel het inzicht dat het omarmen van de nieuwe privacy-spelregels de waarde van de onderneming kan verhogen. Toch valt vaak een onterecht gevoel van ‘comfort in de boardroom’ waar te nemen. De situatie is dan als volgt:
De noodzakelijke eerste stappen zijn gezet. Dit betekent in de praktijk meestal dat er een trusted partner, in veel gevallen de (huis)advocaat, is ingeschakeld om een assessment of een nulmeting uit te voeren met een uitgebreid actieplanals resultaat. Vervolgens is vooral langs juridische lijnen en in de documentatiesfeer een aantal zaken redelijk goed afgedicht. Maar, DOCUMENTEREN IS NOG GEEN IMPLEMENTEREN!
Bovengenoemde risico’s zijn daarmee zeker niet gemitigeerd. De volgende risicofactoren blijven vaak aanwezig:
- Er is nog een groot gebrek aan AVG-kennis binnen de organisatie. Er zijn maar weinig mensen die een specifieke privacyopleiding hebben gevolgd. Vaak is de rol van DPO of Privacy Officer in deeltijd toebedeeld aan de compliance-officer of een medewerker van de IT-afdeling.
- Datalekken zijn altijd het gevolg van gedrag van mensen. Goede, periodieke awareness-training is vaak niet beschikbaar, waardoor kansen op ‘ongelukken’ niet marginaal zijn.
- Meestal zijn er geen, of gebrekkige procesbeschrijvingen. Wat te doen bij een data-lek, wanneer is een DPIA noodzakelijk of wat te doen als een betrokkene zich meldt om gebruik te maken van zijn wettelijke rechten?
- Er zijn onvoldoende technische maatregelen genomen; simpele zaken als goede beveiliging op de werkplek, versleuteling of meervoudige identificatie worden niet of niet voldoende toegepast. Terwijl dit bij de risicobeheersing echte quick wins zijn!
- Dataprivacy, en daarmee de AVG-verplichting, wordt nog vaak projectmatig benaderd. Het gevolg is dat een goede privacygovernancestructuur niet is ingericht. En daarmee de verantwoordelijkheden tussen wal en schip belanden. Dit is, zeker in het kader van de uit de wet volgende hoofdelijke aansprakelijkheid van bestuurders, een onwenselijke situatie.
De volgende conclusies zijn uit bovenstaande te trekken:
- Weliswaar hebben veel ondernemingen inmiddels wel in meer of mindere mate gevolg gegeven aan de wettelijke AVG verplichting.
- Compliant opereren betekent hier meer dan het aanvliegen vanuit een (semi-)juridische route. De AVG verwacht van organisaties dat er ‘technische en organisatorische maatregelen’ worden genomen vanuit meerdere invalshoeken. Ook beveiliging (ICT), aantoonbare en functionele kennis op diverse niveaus, een goede governance-structuur, met rollen voor Privacy Officers en eventueel een Data Protection Officer (DPO of FG) vragen aandacht.
- Het adagium ‘don’t tell me, show me’ dat in de AVG continu tevoorschijn komt, vraagt vanuit het beginsel van accountability om een betere verslaglegging en vastlegging dan nu vaak het geval is.
Goed privacy management is moeilijk en vraagt om diverse expertises. Het dient een vast onderdeel te zijn van de dagelijkse bedrijfsvoering. Veel organisaties zijn, bijvoorbeeld door beperkte omvang, niet in staat om dit zelfstandig op een solide manier in te richten. Een stappenplan kan hierbij helpen.
Het kan van grote waarde zijn om tijdens het integratieproces, in de uitvoeringsfase en in de werkstroom juridisch, hiervoor een in de data privacy gespecialiseerde competentiepartner te laten meekijken en de organisatie te laten adviseren. Niet alleen of het juridisch geregeld is, maar of de operationele aspecten in lijn met de juridische uitgangspunten van de AVG verplichting en de wetgeving zijn.
