AVG: Drie goede redenen om nu in actie te komen

Vóór 25 mei 2018 moeten organisaties die persoonsgegevens verwerken (wie doet dat niet trouwens?) serieus werk hebben gemaakt van de bescherming van persoonsgegevens. Minder dan de helft van de organisaties (45 %) beschikt over een gestructureerd plan voor AVG/GDPR compliance. Bovendien is 58 procent zich zelfs niet volledig bewust van de consequenties die niet compliant zijn met zich meebrengt. Dit blijkt uit onderzoek van SAS in september.
Er zijn echter een paar hele goede redenen om nu snel maatregelen te nemen. Ik noem ze in oplopende mate van importantie; de laatste weegt dus het zwaarst.

1. Boetes door de Autoriteit Persoonsgegevens

We worden via allerlei media wel erg bang gemaakt door draconische boetes. Natuurlijk, de vrijblijvendheid die we uit de tijd van de Wbp (Wet bescherming persoonsgegevens) kennen, is straks afgelopen. Maar of de AP op 26 mei dan al begint met het uitdelen van die boetes? Er zullen tegen die tijd maar weinig organisaties klaar zijn en helemaal volgens de nieuwe richtlijnen werken. Dat wil overigens niet zeggen dat je dan maar een afwachtende houding kunt aannemen. Bedrijven en instellingen moeten natuurlijk wel kunnen aantonen dat ze al een flink eind gevorderd zijn met het nemen van maatregelen om compliant te raken. Dus nu starten en niet meer uitstellen, is absoluut het devies.

2. Schadeclaims door gedupeerden

Naar mijn mening een reëel gevaar dat organisaties niet mogen onderschatten is het risico van schadeclaims door betrokkenen. De Algemene Verordening Gegevensbescherming gaat voor een belangrijk deel over de rechten van die betrokkenen (de personen wiens persoonsgegevens door organisaties worden verwerkt) en de plichten van bedrijven en instellingen die deze gegevens verzamelen, verwerken en opslaan. Onder het nieuwe regime kunnen burgers laagdrempelig materiële en immateriële schade claimen. Vanwege die genoemde rechten en plichten kunt u zich wel voorstellen naar welke kant de balans zal uitslaan als de schade langs juridische weg wordt opgeëist.

3. Reputatieschade

Met zekerheid de grootste risicofactor voor veel organisaties. Reputatieschade kan uw organisatie zomaar treffen als een betrokkene gaat “rondtwitteren” dat u het niet zo nauw neemt met de bescherming van zijn of haar gegevens. Als dat enige vormen aanneemt en zeker als de pers er zich mee bemoeit, dan kon het wel eens snel afgelopen zijn met uw zorgvuldig en met veel tijd en kosten opgebouwde reputatie. Wij Nederlanders kunnen dan wel als nuchter bekend staan, maar o wee als data over onze gezondheid of over onze financiële gegoedheid op straat komen te liggen! Dan worden we nijdig en dan gaan we trappen. Alle reden om ervoor te zorgen dat uw bestanden goed beschermd zijn en dat uw organisatie persoonsgegevens verwerkt conform de nieuwe privacywet.

Een inschatting maken wat de risico’s voor uw organisaties zijn? Stel de vraag gerust.