Een jaar na de invoering van de Europese privacywetgeving AVG voldoen vooral veel midden- en kleinbedrijven nog altijd niet aan de regels. Het belang van bescherming van data staat ook niet meer hoog op de beleidsagenda’s, terwijl de Autoriteit Persoonsgegevens dit jaar juist steviger gaat inzetten op handhaving.
Uit drie recente onderzoeken naar de invoering en omgang met de nieuwe privacyregels rijst geen rooskleurig beeld op. Zo meldt branchevereniging DDMA dat een groot deel van de data- en marketingbedrijven uit de eigen achterban nog steeds ‘worstelt’ met de AVG-eisen.
Een draak van een wet
Zeven op de tien van de ondervraagde bedrijven in deze sector voldoet niet aan de eis voor het hebben van een overeenkomst over gegevensverwerking met samenwerkingspartners. Iets meer dan de helft van de bedrijven beschikt nog niet over een register waarin vastgelegd wordt welke persoonsgegevens worden verwerkt.
Het kostte meer tijd dan verwacht
Uit een ander onderzoek, van onderzoeksbureau Motivaction in opdracht van Rendement, blijkt dat bedrijven die wel voldoen aan de eisen daar veel tijd en geld aan kwijt waren. Van de 1276 ondervraagde professionals uit het bedrijfsleven geeft bijna driekwart aan dat het meer tijd kostte dan verwacht. De helft van de werknemers die te maken hebben met de implementatie van de AVG zegt het ‘een draak van een wet’ te vinden.
Kleine organisaties waren gemiddeld zo’n 2000 euro kwijt aan de toepassing. Bij grote organisaties liep dit op tot 20.000 euro of meer.
Ook werkgeversorganisaties VNO-NCW en MKB-Nederland klagen over de AVG. ‘We concluderen dat verdere aanpassing van de regels nodig is, omdat mkb-ondernemers er nog altijd te veel mee worstelen’, zeggen ze in een verklaring. De werkgevers onderschrijven de doelen van de AVG, maar vinden de normen en de regels te vaag en te complex.
Databeveiliging geduikeld op de HR-agenda
Uit een derde recent uitgevoerd onderzoek, onder bijna tweeduizend Nederlandse HR-professionals, komt naar voren dat het onderwerp ‘privacy en databeveiliging’ sinds de invoering van de AVG een duikeling heeft gemaakt op de HR-prioriteitenlijstjes: van nr. 1 vorig jaar naar plaats 10 dit jaar.
‘Zeer opvallend’, zegt een woordvoerder van het bij het onderzoek betrokken adviesbureau Berenschot. ‘Het lijkt erop dat de invoering van de AVG voor veel bedrijven ‘een moetje’ was en dat het belang van databescherming uit het oog is verloren.’ Een gevaarlijke trend, vindt Berenschot, omdat cyberaanvallen op gevoelige data volgens het bureau een reële bedreiging zijn.
Angst voor een datalek
Wel zegt 17% van de ondervraagde HR-professionals zich veel zorgen te maken over de kwetsbaarheid van de eigen organisatie. Vooral de angst voor een datalek door toedoen van de eigen medewerkers is groot.
Die angst lijkt niet ongegrond. Volgens de AP is het aantal datalekmeldingen fors toegenomen. In 2018 werd bijna 21.000 keer melding gedaan van een datalek (in 2017 ging het nog om 10.000 meldingen). In 2019 gaat het, tot 1 mei, al om 8.000 datalekmeldingen.
Vrees is er bij de HR-mensen ook voor onvoldoende kennis en expertise met betrekking tot privacyzaken en er zijn zorgen over een mogelijke controle op de naleving van de AVG door de Autoriteit Persoonsgegevens.
Het onderzoek onder HR-professionals werd in opdracht van Performa uitgevoerd door Berenschot en Afas Software.
Strengere handhaving Autoriteit Persoonsgegevens
Volgens Matthias De Bruyne, privacy-expert en jurist bij DDMA, hebben grote bedrijven met een eigen juridische afdeling hun zaken inmiddels wel op orde. ‘Maar voor kleine organisaties blijft de privacywetgeving een uitdaging. Dat is begrijpelijk bij zo’n complexe wet, maar de noodzaak om aan de eisen te voldoen is hoog, zeker nu de Autoriteit Persoonsgegevens heeft gezegd in 2019 strenger te gaan handhaven.’
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens (AP) kondigt dat aan in een onlangs gepresenteerd jaarverslag. ‘In 2019 blijven we voorlichting geven om de naleving van de privacywetgeving te bevorderen. Tegelijkertijd gaan we steviger inzetten op handhaving nu organisaties bekender zijn met de nieuwe privacywet.’
AP ontving al ruim 20.000 klachten
De AP heeft sinds de inwerkingtreding van de AVG, eind mei 2018, ruim 11.000 klachten ontvangen. In de eerste vier maanden van 2019 kwamen er nog 9000 klachten bij. Het gaat om klachten waarbij een vermoeden wordt geuit van schending van privacyrechten, zoals het recht op inzage. Gezien dit volgens de AP forse aantal klachten heeft de autoriteit zich vooral toegelegd op het geven van voorlichting en tips om problemen te helpen oplossen.
Volgens Wolfsen zullen klachten in de toekomst vaker leiden tot onderzoek en sancties van de AP.
Ondernemingsraad en de AVG
De ondernemingsraad heeft instemmingsrecht volgens artikel 27 WOR, bij regelingen voor het verwerken van persoonsgegevens en voor regelingen bedoeld voor, of geschikt als personeelsvolgsystemen.
De AVG verplicht organisaties te voldoen aan standaarden om persoonsgegevens en veilige verwerking daarvan te borgen. Deze borging vraagt meestal om het instellen van regelingen, waardoor het instemmingsrecht automatisch van kracht is.
Ook voor de persoon en de taken van een functionaris voor de gegevensbescherming komt het instemmingsrecht in beeld. Zeker daar waar de werkzaamheden van de FG betrekking hebben op het interne toezicht.
Lees ook:
- Privacywet: or kan passende keuzes maken
- Registratie datalekken vaak niet op orde
- De privacyrechten van werknemers volgens de AVG
1-daagse opleiding: Privacywetgeving voor de or
Voor de or is het van groot belang om de ins en outs van de privacywetgeving te kennen.
Tijdens de 1-daagse opleiding De nieuwe Privacywetgeving voor de or wordt de privacywet uitgebreid behandeld en komen alle specifieke punten voor de or aan de orde.
Boek: Or en privacy
OR en privacy gaat in op de AVG en andere privacy-onderwerpen.
In dit boek komt de werking van de AVG aan de orde en de relatie met de werkvloer en het werkveld van de ondernemingsraad.
Geef een reactie