AVG, weg ermee! Of toch niet?
Zodra het de afgelopen jaren over de AVG ging, hoorde je meestal: ‘ik heb niets te verbergen.’ Hierin lijkt verandering te komen en het risico van onbeschermde persoonsgegevens wordt steeds zichtbaarder. Toch blijkt uit de praktijk dat de Algemene Verordening Gegevensbescherming (AVG) regelmatig niet de nodige prioriteit krijgt binnen organisaties. Hoewel maatregelen worden getroffen, leidt het ontbreken van voldoende aandacht tot een ondoeltreffende beleidsvoering en zorgt het juist voor een gefragmenteerde aanpak. Vaak zijn er andere onderwerpen die hogere prioriteit krijgen binnen een organisatie, zoals onderwerpen die direct bijdragen aan financiële groei. Op het eerste gezicht lijkt de toepassing van de AVG geen directe bijdrage te leveren aan de financiële groei van je organisatie. Maar de vraag is, of dat wel zo is? Wat zijn de financiële risico’s als de AVG niet de nodige prioriteit krijgt? In deze blog licht ik verder toe hoe je de AVG effectief implementeert en welke voordelen het biedt voor je organisatie.
Wanneer is de AVG van toepassing?
Allereerst is het van belang om te bepalen of de AVG van toepassing is binnen jouw organisatie. Er wordt vaak verondersteld dat er geen persoonsgegevens worden verwerkt, vooral als het verwerken van persoonsgegevens niet de primaire taak van de organisatie is. De AVG is van toepassing zodra, direct of indirect, persoonsgegevens worden verwerkt. De AVG definieert persoonsgegevens als volgt: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.’ Dit betekent dat zelfs informatie die op het eerste gezicht niet tot directe identificatie leidt, zoals IP-adressen of klantbeoordelingen, onder de definitie van persoonsgegevens kunnen vallen. Het verwerken van persoonsgegevens omvat dus alles wat een organisatie met deze gegevens kan doen, van verzamelen tot vernietigen. Zelfs het inzien van persoonsgegevens kan worden beschouwd als een verwerking. Zodra je persoonsgegevens gaat verwerken, is de AVG daarmee van toepassing en betekent dit dat je stappen moet zetten om aan de wetgeving te voldoen.
Wat moet je vervolgens doen?
De AVG bestaat uit 99 wetsartikelen. Het is meestal niet haalbaar om in één keer aan alle wettelijke vereisten te voldoen. De juiste implementatie van de AVG binnen jouw organisatie vergt tijd en strategische investeringen. Zorg daarom eerst dat er een duidelijk plan ligt met doelstellingen, vastgestelde taken en duidelijke verantwoordelijkheden, voordat je begint de wetgeving te implementeren. Hierbij kun je gebruik maken van de volgende strategische stappen:
Stap 1: Bepaal je huidige privacyniveau
· Toelichting: Begin eerst met een nulmeting, in andere woorden: een inventarisatie van de huidige situatie. Bepaal wat er gedaan moet worden om binnen jouw onderneming aan de AVG te voldoen. Zet dit op een rijtje en kijk vervolgens wat in de organisatie hiervan al is opgepakt. Voer daaropvolgend een GAP-analyse uit zodat een plan kan worden opgesteld om de nog ontbrekende maatregelen uit te voeren.
Stap 2: Bepaal het strategisch ambitieniveau
· Toelichting: Wanneer je stap 1 hebt afgerond en het huidige privacyniveau is bepaald, kun je met het bestuur bepalen waar je vanuit deze nulmeting naar toe wil werken. Bestuurders zijn essentieel voor het bepalen van de AVG-koers. Door samen het ambitieniveau vast te stellen, zorg je voor duidelijke doelen en de nodige betrokkenheid vanuit het bestuur. Dit vormt de basis voor een effectieve implementatie, zowel op de korte als ook de lange termijn. Zonder deze afstemming raken initiatieven vaak versnipperd en ongecoördineerd, wat leidt tot een gebrek aan richting en prioriteit. Daarnaast zorgt het voor ‘tone-at-the-top’. Het bestuur moet immers het goede voorbeeld geven, zodat de rest van de organisatie ook volgt.
Stap 3: Ontwikkel een plan voor implementatie
· Toelichting: Stel een plan op of laat een plan schrijven op basis van de nulmeting over hoe de AVG verder geïmplementeerd kan worden binnen jouw organisatie. Hierin wordt opgenomen hoe de onderwerpen die uit de GAP-analyse naar voren zijn gekomen, verder worden geïmplementeerd binnen de organisatie om zo het beoogde ambitieniveau te behalen.
De voordelen van de AVG voor het MKB
Uit de datalekkenrapportage van de Autoriteit Persoonsgegevens bleek dat in 2023 meer dan 25.000 datalekmeldingen zijn gedaan door bedrijven, overheden en andere organisaties. Hierbij was er bij 1309 meldingen sprake van cyberaanvallen met ongeveer 20 miljoen getroffen slachtoffers. Dit soort incidenten hebben een ontzettend grote impact op organisaties. Denk hierbij aan financiële schade, reputatieschade en/of concurrentievoordeel voor rivaliserende bedrijven. Daarnaast kunnen datalekken ervoor zorgen dat klanten hun vertrouwen in de organisatie verliezen. Okta, Inc. heeft onderzoek gedaan naar het digitaal vertrouwen in bedrijven. Daaruit blijkt dat meer dan een kwart (26%) van de Nederlanders al eens het vertrouwen in een bedrijf heeft verloren als gevolg van een datalek of misbruik van gegevens.
Een gedegen implementatie van de AVG kan helpen al deze risico’s te mitigeren, met als bijkomend voordeel dat het klantvertrouwen juist wordt versterkt. Jouw onderneming kan immers concreet aantonen dat het vertrouwelijk met persoonsgegevens omgaat. Daarnaast kunnen deuren worden geopend naar nieuwe markten en samenwerkingsmogelijkheden. Wanneer organisaties privacywetgeving serieus nemen, kan het aantrekkelijker worden om zaken te doen voor klanten en investeerders die belang hechten aan dit onderwerp. Denk daarbij aan softwarebedrijven die cloudoplossingen aanbieden. Er staan tegenwoordig heel veel persoonsgegevens opgeslagen in cloudoplossingen. Organisaties en consumenten hechten steeds meer belang aan de vraag hoe leveranciers van cloudoplossingen omgaan met privacywetgeving. Dit belang wordt dus ook in toenemende mate meegenomen bij keuze voor een bepaalde leverancier.
Conclusie: AVG, toch niet weg ermee!
Door de AVG de nodige prioriteit te geven, versterk je het klantvertrouwen, biedt het nieuwe marktkansen en bescherm je jouw organisatie tegen de groeiende risico’s van datalekken en cyberaanvallen. Immers kunnen datalekken en cyberaanvallen leiden tot grote financiële nadelen, zoals financiële verliezen door kosten voor het herstellen van een datalek, kosten voor incident response en natuurlijk juridische boetes en sancties. Zo blijkt uit het rapport van ICT-bedrijf IBM dat de gemiddelde kosten van een datalek in 2023 bij bedrijven en organisaties wereldwijd 4 miljoen euro bedraagt. De grootste kosten komen voort uit het detecteren van lekken en het voorkomen van verdere schade aan bedrijven en organisaties. Al met al, is het noodzakelijk dat de AVG de nodige prioriteit krijgt zodat niet alleen aan de wetgeving wordt voldaan, maar ook wordt bijgedragen aan het financiële succes en de continuïteit van jouw organisatie.
Heb je hulp nodig met de AVG binnen jouw organisatie of wil je even vrijblijvend sparren? Mail dan naar info@lujinpl.nl of neem dan contact op via het contactformulier.