In mei 2018 is het zover: dan gaat de Algemene Verordening Gegevensbescherming (AVG) van kracht. Hoewel de bewuste datum niet ver weg ligt, reageren veel bedrijven hier laconiek op. Dat is onverstandig, want je kunt te maken krijgen met ernstige gevolgen, zoals imagoschade, datalekken en hoge boetes.
Om misverstanden uit de weg te ruimen bespreken we in deze blog de 4 grootste misvattingen rondom de nieuwe regelgeving!
1. De AVG is een ‘probleem’ van de IT-afdeling
Persoonsgegevens verzamelen: op welke wijze doe je dat eigenlijk? En hoe dien je dergelijke data te bewaren, bewerken en beschermen? Volgens de AVG moet je een helder antwoord hebben op zulke vragen. Denk dus niet dat alleen de IT-afdeling verantwoordelijk is voor het naleven van de AVG. Iedereen die met persoonsgegevens in aanraking komt, is erbij betrokken. Dit kan betekenen dat je bepaalde bedrijfsprocessen volledig op de schop zal moeten nemen.
2. Compliance: daar draagt de IT-manager zorg voor
Laat de AVG niet volledig over aan de IT-manager. In dat geval is hij namelijk niet alleen verantwoordelijk voor gegevensverwerking; hij moet de juridische rechtmatigheid ervan óók onafhankelijk controleren. Wil je een betrouwbaar oordeel, stel dan een Functionaris Gegevensbescherming aan voor laatstgenoemde taak.
3. De AVG draait om het voorkomen van hacks en datalekken
De AVG schrijft voor dat burgers meer bescherming moeten genieten én dat zij grotere controle dienen te krijgen over hun data. In de praktijk betekent dit onder meer dat je elk verzoek tot het leveren van een kopie van persoonsgegevens moet inwilligen binnen 30 dagen. Ook mogen mensen eisen dat je hun gegevens voorgoed verwijdert. Het is dus belangrijk om ervoor te zorgen dat je zulke verzoeken correct en tijdig kunt afhandelen.
4. AVG-compliance staat voor ‘boetes voorkomen’
Natuurlijk zorgt compliance ervoor dat je zeer hoge boetes voorkomt. Maar je kunt er ook je bedrijfsimago mee beschermen. Is er bijvoorbeeld sprake van een datalek waarbij creditcardgegevens of BSN-nummers zijn gelekt, dan moet je dit aan twee partijen melden: de Autoriteit Persoonsgegevens én de betrokkene, wiens leven hierdoor wordt beïnvloed. Dat doet je reputatie uiteraard geen goed!
