De AVG is ingegaan op 25 mei 2018 is ingegaan en elk bedrijf dat onder AVG valt moet ervoor zorgen dat het bedrijf aan de vereisten van AVG voldoet.
Het zou mooi zijn als dat ook zo was, maar in de praktijk zijn veel bedrijven nog niet zodanig ingericht dat ze aan de AVG kunnen voldoen. Er zijn meerdere redenen waarom dat het geval is.
De onbekendheid met de wet, hoge kosten voor het invoeren ervan en het ontbreken van de kennis over hoe het bedrijf moet worden aangepast zijn daar voorbeelden van.
Wat er ook niet aan bijdraagt is dat de wet pas (relatief) kortgeleden is ingevoerd, niet erg gedetailleerd is en er nog geen goede richtlijnen zijn.
Bedrijven zien we dat bij vele andere bedrijven er niets of weinig aangedaan wordt.
De bedrijven die voldoende bekend zijn met de wet willen compliant zijn maar verkeren toch in tweestrijd.
De AVG moet gevolgd moet worden maar door alle hindernissen worden er afwegingen gemaakt:
• Moet de AVG nu worden ingevoerd of kan het wachtten?
• Moeten er kosten worden gemaakt en tijd wordt vrijgemaakt om de AVG in te voeren?
• Wat is het risico als we het niet doen?
Het risico op een controle door de AVG.
De AP heeft te weinig budget en medewerkers om veel controles uit te voeren.
De boetes die tot en met heden zijn uitgedeeld door Autoriteit Persoonsgegevens (AP) betreffen vooral de grotere bedrijven in de risicosectoren waar het echt niet goed geregeld was en de gevolgen het grootst zijn.
De AP controleer vooral de overheid, zorg en de bedrijven die handelen in persoonsgegevens. Andere sectoren worden ook wel gecontroleerd door AP, maar meer op basis van de actualiteit en naar aanleiding van klachten. En veel controles hebben nog niet tot boetes geleid omdat de tijd (wel kort) gegeven werd om de zaken op orde te krijgen.
Tel daar de afgelopen jaren bij op waarin veel zaken zijn opgeschort en uitgesteld en er is een beeld dat er een minimaal risico is dat de AP op de stoep staat om te controleren of alles wel op orde is.
Er is de mogelijkheid dat een bedrijf is gemeld bij de AP door een relatie of klant van het bedrijf, waarvan het bedrijf de rechten heeft geschonden door de AVG niet te volgen. Er lijkt vooralsnog niet veel mee te kunnen worden gedaan.
De kans op een controle is klein, dus als er alleen daarnaar gekeken wordt is het antwoord op de twee bovenstaande vragen duidelijk; afwachten.
Het risico op een boete
En als ze langskomen is een inspanning om eraan te voldoen door bijvoorbeeld de verplichte registers te hebben ingevuld voldoende en is er geen risico op een boete. Dat lijkt tot op heden ook het geval. En als het niet op orde is er de tijd om het op orde te maken. Dit lijkt inmiddels achterhaalt. Ook hier is de kans niet groot.
Afwachten dan maar?
Nee, afwachten is geen optie.
(Het is geen keuze om eraan te voldoen, maar zoals gezegd is dat in realiteit een ander verhaal).
Als er alleen een overweging zou worden gemaakt op basis van de kans op een controle door de AP is dat geen beste keuze. Er zijn meer redenen naast de plicht tot invoering.
De AVG heeft een reden en dat is het voorkomen dat de persoonsgegevens van klanten en relaties van een bedrijf terecht komen bij een partij die ze helemaal niet behoort te hebben (een data lek). Als dat toch gebeurt ontstaat er reputatie schade en schade voor de personen waarvan de gegevens zijn gelekt. Dat leidt tot omzet verlies en claims als de belangen van personen wordt geschaad.
Als de ICT en de procedures niet op orde zijn en er derde heeft toegang tot de systemen (hack) kan dat leiden tot het ontoegankelijk worden van de gegevens en het blokkeren van de bedrijfsactiviteiten. Dat leidt tot schade.
Het gevolg kan ook zijn dat er losgeld wordt gevraagd om weer bij de systemen en gegevens te kunnen komen (in het geval van ransomware). Dan komt er nog een extra bedrag bij.
De verzekering zal niets uitkeren als het bedrijf niet voldoende maatregelen neemt om datalekken.
Er is een plicht om zelf aan de AP-datalekken te melden. Het niet melden daarvan is een overtreding en wel melden ervan leidt tot een nadere controle als blijkt dat het komt omdat de AVG niet is ingevoerd. En dan is de boete er ineens wel, ook al was de kans op controle klein.