Naar overzicht

Het is bijna 18 maanden geleden dat de Algemene Verordening Gegevensbescherming (AVG) werd ingevoerd. Tijd voor een tussenstand. Hoe staat het ervoor? Hoeveel organisaties zijn inmiddels écht compliant? En is de Autoriteit Persoonsgegevens druk met het uitdelen van boetes?

Lange aanloop

De invoering van de AVG kende een lange aanloop. Al in 2016 werden bedrijven gewaarschuwd en kregen ze twee jaar de tijd om hun databeveiliging op orde te krijgen. De boodschap kwam niet echt over. “Dat komt straks wel”, was de algehele gedachte.

Pas in de eerste maanden van 2018 kwam er beweging, waarna vrijwel meteen de paniek toesloeg. Er moest nog zoveel gebeuren. Inzicht in alle gegevensverwerkingen, een functionaris gegevensbeheer aanstellen, een privacyverklaring.

Nog geen derde werkt conform de AVG

Bijna anderhalf jaar later blijkt deze moeizame aanloop zijn weerslag te hebben op de algehele naleving. Zo onderzocht het Capgemini Research Institute deze maand het compliancy-level in alle Europese lidstaten. Hieruit blijkt dat slechts 28% van alle ondervraagde bedrijven op dit moment voldoet aan de AVG.

Met 31% ligt dit percentage in ons land weliswaar iets hoger, maar indrukwekkend is het allerminst. Zeker als we het vergelijken met een enquête die in juni 2018 werd ingevoerd, toen nog bijna 81% dacht er klaar voor te zijn.

Zelfs banken blijven achter

Dat nog geen derde van de organisaties inmiddels AVG-proof werkt is opmerkelijk te noemen. Opmerkelijker is het misschien nog wel dat ook banken en verzekeringen behoorlijk tekortschieten in hun naleving. Zo blijkt dat slechts 35% van de banken inmiddels volledig compliant is, terwijl slechts 23% (!) van de verzekeraars een goed privacybeleid kunnen overleggen.

De eerste boete: 460.000 euro

Net als tijdens de Wet bescherming persoonsgegevens (Wbp), is de Autoriteit Persoonsgegevens de belangrijkste toezichthouder in de AVG. De AP controleert de werkprocessen bij Nederlandse organisaties en kan sancties (lees: boetes) opleggen als de richtlijnen niet worden nageleefd.

In juli van dit jaar pas werd de allereerste boete onder de AVG uitgedeeld*. Het HagaZiekenhuis in Den Haag had de beveiliging van de patiëntendossiers niet op orde en kreeg een boete van 460.000 euro plus een ‘voorwaardelijke boete’ als de situatie niet snel verbetert.

Het HagaZiekenhuis kreeg een boete van 460.000 euro.

Een positief imago

Antwoord op de vraag waarom nog maar zo weinig organisaties compliant zijn ligt voor een groot deel in onderschatting van de te nemen maatregelen, laat het onderzoek van Capgemini zien.

Liefst 38% van de onderzochte bedrijven geeft aan het creëren van een nieuw IT-landschap te complex te vinden. 36% vindt de vereisten op organisatorisch vlak te ingrijpend en voor 33% zijn de kosten het grootste bezwaar.

Er valt wat voor te zeggen. Zeker voor bedrijven met kleine budgetten is AVG-compliant zijn niet eenvoudig. Maar aan de andere kant kan het ook iets positiefs opleveren. Zo gaf 92% van de bedrijven aan aanzienlijk concurrentievoordeel te ervaren van het label ‘compliant’. Bovendien heeft het een positief effect op het vertrouwen van klanten (84%), merkimago (81%) én moreel van medewerkers (79%).

*Uber kreeg in 2018 een boete van 600.000 euro, maar die viel nog onder de Wpb.

Naar overzicht

Lezers reacties

0 reacties

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *