Het is bijna zover. Op 25 mei zal de AVG van toepassing zijn. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties en dezelfde, stevige bevoegdheden voor alle Europese toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen. Op diverse sites zijn stappenplannen te vinden hoe deze implementatie kan worden vormgegeven en waar de betrokkenen op moeten letten.
Enkele maanden terug vroegen veel mensen zich nog af wat de AVG was. Zowel de afkorting als de inhoud waren vaak niet bekend. Zo gaf een kennis bij me aan dat AVG zou staan voor ‘Altijd Veilige Gegevens’. Ook inhoudelijk vroeg men zich twaalf maanden geleden af wat de AVG inhield. Bij een onderzoek van PWC onder 327 organisaties bleek dat destijds 12 procent er slechts klaar voor was en de helft de verwachting had er klaar voor te zijn in 2018.
Belangrijk project
Inmiddels is het bijna echt zover. Aan het einde van deze maand dient u klaar te zijn voor de Algemene Verordening Gegevensbescherming, wat een verordening is van de EU over databescherming. Het blijkt dat voor vele organisaties het implementeren ook inmiddels wordt gezien als een groot en belangrijk project. Temeer daar dit geldt voor een grote organisatie met meer tienduizend werknemers tot en met de kleine sportvereniging om de hoek met minder dan honderd leden. Met name bij de kleinere organisaties lijkt het gevaar groter dat het misgaat, doordat daar de kans ook kleiner is dat dit met een professioneel team als project kan worden opgepakt.
Kunnen we de introductie van de AVG als project opnemen in het rijtje van bijvoorbeeld de implementatie van de euro en het millenniumgevaar? Aan de genoemde eerdere grootschalige projecten zaten ook grote bedrijfsrisico’s. Bij de millenniumbug was echter ook sprake van allerlei andere bedachte risico’s, zoals mensen die vast zitten in liften, die in de praktijk mee bleken te vallen. Zal de AVG in de praktijk ook meevallen? Dat hangt er vanaf hoe serieus dit wordt opgepakt door organisaties. Als men het links laat liggen en er geen tot weinig aandacht aan besteed, zal dit grote risico’s met zich meebrengen, zoals het krijgen van een grote boete voor een overtreding. Bij een serieuze aanpak is de verwachting echter dat de meeste bedrijven hier in de praktijk wel goed mee om kunnen gaan. Gevaar is dan nog wel de continuïteit: eenmaal geregeld betekent niet voor altijd goed geregeld. Streef daarom naast de serieuze aanpak ook naar de serieuze inbedding in de organisatie en betrek hierbij meer afdelingen.
Op de agenda
Morgenavond staat dit onderwerp in elk geval weer op de agenda bij de implementatie bij mijn tennisvereniging in mijn rol als voorzitter. In mijn rol als controller op het werk probeer ik hierbij vooral te kijken naar de financiele risico’s en inbedding in de organisatiestructuur.
Hopelijk bent u er ook mee aan de slag in uw organisatie als werknemer, werkgever of in uw vereniging als vrijwilliger. Enorm benieuwd ben ik hoe we er over een jaar voorstaan met betrekking tot de AVG en wat de gevolgen zijn geweest voor eenieder.
Leon van der Wilk
Groepscontroller bij Parnassia en actief binnen FIZI
