Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland
Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland. Bedrijven lopen elkaar in de weg, overheidsinstanties vertrouwen elkaars beveiligingsbeleid niet en weigeren gegevens te leveren als er niet eerst een ‘data-overeenkomst’ is getekend (wat dat ook precies moge zijn), kerkblaadjes die met bloed, zweet en tranen door vrijwilligers in elkaar worden gedraaid besluiten ermee te stoppen en sportverenigingen weten niet of zij nog de foto’s van de sportdag op hun website mogen zetten. Hotels en bloemisten, zelf verwerkingsverantwoordelijken, krijgen van hun klanten verwerkersovereenkomsten in de maag gesplitst omdat medewerkers van die klanten een nachtje komen slapen of omdat ze als vaste leverancier boeketten mogen gaan leveren aan jubilerende of jarige medewerkers van hun klant. En alles wordt opeens als datalek aangemerkt. Het is duidelijk: de AVG heeft voor velen nog steeds een hoog klok-en-klepel gehalte. Maar het rare is, de meeste regels over wat wel en niet mag met persoonsgegevens zijn in vergelijking met de oude Wet bescherming persoonsgegevens vrijwel niet veranderd. Met andere woorden, als het nu niet compliant is, was het dat vroeger ook niet. Ik wil niet zeggen dat iedereen vroeger netjes de wet naleefde; dat zeker niet. Maar de stemming lijkt in Nederland nu opeens helemaal omgeslagen. Van privacy-apathie naar privacy-on-steroids. Letterlijk alles wordt nu in twijfel getrokken. Bang als iedereen is voor de -voorlopig nog steeds niet opgelegde- boetes van de AP. Alsof de AP de hele dag met boetes gaat lopen strooien. Dat namelijk ook weer niet. Overtredingen moeten eerst onderzocht worden alvorens er een boete wordt opgelegd. En dat kost tijd en mankracht. Met de beperkte bezetting (ongeachte de omvang van de AP, is de capaciteit van de AP in onze informatiemaatschappij altijd te weinig), kan de AP maar een beperkt aantal onderzoeken per jaar uitvoeren en dus ook maar een beperkt aantal boetes opleggen. Voor de AVG geen flitspalen die aan de lopende band overtredingen constateren waarna met boetes worden gestrooid.
Ondertussen maken criminelen dankbaar gebruik van deze paniek. Vorige week waarschuwde de AP voor een oplichter die namens de AP naar bedrijven belt en moet boetes dreigt. Voor 1000 euro ben je er vanaf. En eerder werd er al een bedrijf ontdekt dat Belgische ondernemers wees op hun (vermeende) overtreding. Voor 195 euro konden ze binnen 7 dagen een keurmerk kopen. En anders zouden ze worden aangegeven bij de toezichthouder. De website van dit bedrijf is inmiddels uit de lucht.
Het zal nog wel even duren voordat de rust is weergekeerd en het nieuwe AVG-evenwicht is gevonden. Ondertussen blijft PMP organisaties trainen op de AVG en helpen wij hen met een gezonde bewustwording bij hun medewerkers. De AVG is niet voor niets gebaseerd op een ‘risk-based’ approach. “Doen wat nodig is, maar niet op alle slakken zout leggen” is het devies van de AVG. Velen moeten die boodschap nog krijgen. Tot die tijd is het oppassen geblazen voor verkeerde interpretaties van de AVG. En kennelijk ook voor AVG-scammers!
Bron: Nieuwsbrief PMP
Inloggen voor Mijn Cqure leden
Bestaande leden kunnen inloggen met e-mail en wachtwoord. Heb je via een social media account geregistreerd of deze gekoppeld aan je account? Kies dan het gekoppelde platform om in te loggen.
Login met e-mail en wachtwoord:
Nog geen Mijn Cqure account?
Heb je nog geen account? je kunt je aanmelden door het registratieformulier in te vullen, of door een social media account te koppelen. Het aanmelden is eenvoudig en binnen enkele ogenblikken geregeld.
De voordelen op een rijtje:
- Reacties onmiddelijk zichtbaar in Kennisplatform
- Eenvoudig inschrijven voor events
- Snel inloggen met Facebook of Twitter
- Formulieren aangevuld met jouw profielgegevens
Hoi Jeroen,
Je observaties herken en onderschrijf ik deels, maar laten we ook niet de positieve uitwerking van AVG onbelicht laten. De aandacht en het bewustzijn met betrekking tot privacy en de omgang met persoonsgegevens is de afgelopen periode aanzienlijk verbeterd. Bij de burgers, vele instellingen en vele bestuurders heeft de AVG wel degelijk geleid tot beter begrip, kennis, bewustzijn en accountability. De komende jaren zal de wetgeving zich verder uitkristalliseren en zal jurisprudentie gaan uitwijzen in hoeverre de vele interpretaties van ‘risk based’ approach stand houden in relatie tot de wetgeving. Het tempo hiervan zal grotendeels afhankelijk zijn van de ‘performance’ van de AP.
Dat angst (als onderdeel van door veel consultancy bureau’s ingestoken FUD approach) momenteel in deze fase opduikt is herkenbaar en heeft zich in het verleden bij de implementaties van zaken zoals SOX, Tabaksblat ook geopenbaard.
Ik weet niet of er sprake is van (grote) onrust. Op het moment dat een instelling bijvoorbeeld op basis van een gedegen ‘risk based’ approach het 10-stappenplan van AP heeft doorlopen en op basis daarvan passende maatregelen heeft getroffen en dit alles (inclusief overwegingen, onderbouwingen) aantoonbaar heeft gedocumenteerd dan zie ik de toekomst met vertrouwen tegemoet en spreek ik van een beheerste situatie (‘Privacy in control’). Dit zou m.i. voor het topic privacy het verantwoordelijk management rust moeten geven en is er geen reden om hen gek te laten maken.