AVG

AVG: Afschuwelijk Veel Gedoe?

25 mei is D-day voor de AVG. Maar verandert er met ingang van vandaag nu echt zoveel, vraagt Jeroen Brouwer van de ABU zich af.    

Vandaag is het dan zover: de Algemene verordening gegevensbescherming (AVG) is in werking getreden. Althans, de AVG was er al eigenlijk al twee jaar, maar aan de overgangsperiode is nu een einde gekomen. Voor veel bedrijven staat de afkorting AVG voor afschuwelijk veel gedoe. De indruk bestaat ook dat er een groot verschil is met het tijdperk vóór de AVG. Maar is dat ook zo? Verandert er met ingang van vandaag nu echt zoveel?

AVG : weinig nieuws onder de zon

In Nederland kenden we met de Wet bescherming persoonsgegevens (Wbp) al een vrij strenge privacywet. Bijna alle privacyrechten uit de AVG stonden al in de Wbp. De extra rechten die de AVG aan betrokkenen toekent (recht op vergetelheid, dataportabiliteit) hebben op veel sectoren, zoals de uitzendbranche, waarschijnlijk geen grote impact. Ook onder de Wbp moesten ondernemingen beschikken over een wettelijke grondslag voor het verwerken van persoonsgegevens. De verplichtingen om datalekken te melden en overeenkomsten te sluiten met bewerkers/verwerkers zijn evenmin nieuw.

Verwerkingsregister cruciaal

De voornaamste verandering die de AVG met zich brengt is de verantwoordingsplicht. Zorgvuldig omgaan met persoonsgegevens moest al, maar nu moet die zorgvuldigheid nog meer aangetoond kunnen worden. Het verwerkingsregister speelt daarbij een cruciale rol. Iedere organisatie moet een document opstellen en daarin vermelden welke categorieën persoonsgegevens worden verwerkt, maar ook met welk doel, op basis van welke grondslag, welke bewaartermijnen gehanteerd worden etc. Een flinke klus, maar het helpt bij het krijgen van overzicht en dwingt tot nadenken.

Rol toezichthouder

Hoewel de AVG dus op bepaalde punten tot wat wijzigingen leidt, heeft de ‘hype’ rondom de AVG natuurlijk vooral te maken met de handhaving door de toezichthouder. De Autoriteit Persoonsgegevens (AP) deed onder de Wbp ook al onderzoek naar de naleving van de wet, maar tot het opleggen van boetes heeft dit niet geleid.

De AVG gaat daar verandering in brengen. Wel behoudt de AP de mogelijkheid om eerst een lichtere sanctie op te leggen en daarnaast moet de hoogte van een eventuele boete in een redelijke verhouding staan tot de ernst van de overtreding. Terecht, want een (kleine) fout is zo gemaakt. Ook bij organisaties die alles op de rit denken te hebben, kan er nog een bericht met persoonsgegevens in een mailbox zijn achtergebleven, zonder dat daarvoor een grondslag bestaat.

Het wekt geen verbazing dat veel bedrijven en ook overheden vandaag nog niet ‘klaar’ zijn voor de AVG. Als dat ook voor uw organisatie geldt, is er werk aan de winkel. Maar u verkeert in elk geval in goed gezelschap.

Jeroen is beleidsmedewerker Juridische Zaken bij de ABU (Algemene Bond Uitzendondernemingen) Bekijk alle berichten van Jeroen Brouwer

2 reacties op dit bericht

  1. [A] Allang
    [V] Volstrekt
    [G] Gewoon

    Als men de afgelopen jaren (decennia) voldeed aan de minimale privacy-vereisten, en men heeft de afgelopen implementatie-periode gebruikt waarvoor deze bedoeld was dan is de GDPR nauwelijks een probleem.
    “dat veel bedrijven en ook overheden vandaag nog niet ‘klaar’ zijn voor de AVG” zou dus wél verbazing dienen te wekken. En men is dan ook zeker niet “in goed gezelschap”.

    Diegenen die nu roepen en klagen hebben doodgewoon boter op hun hoofd.
    De overheid en quartaire sector voorop.

  2. Blijft wel een enorm bureaucratisch gedoe met zeer beperkte inhoud.
    Privacy-verklaringen, verwerkingsregister, aparte bewerkingsovereenkomsten per bewerker, een enorme (elektronische) papierbrij ook voor hele kleine bedrijven, veel mails met ook ng eens verschillende aanpakken.