De eerste wet die (bijna) niemand volgt?
Er is sinds invoering van de Algemene Verordening Gegevensbescherming (AVG), iets meer dan 4 jaar verstreken. De verwachting is dat 4 jaar na de invoering van een wet elk bedrijf in ieder geval een minimum aan aanpassingen heeft doorgevoerd om ervoor te zorgen dat aan de verplichtingen wordt voldaan. Dat is niet gebeurd.
Er zijn twee uitzonderingen. Dat zijn de organisaties waarvoor een aanstelling van een FG verplicht is en de bedrijven die de kennis en het geld hebben om de aanpassingen door te voeren. Dat zijn met name de overheid en de grotere (en bekende) bedrijven. Dat is geen garantie dat het goed gaat. De boetes spreken voor zich. Wat overblijft zijn de MKB-bedrijven (c.a. 5 miljoen). Deze bedrijven weten niet waar te beginnen en hebben geen of weinig grip op situatie. De vraag is waarom de invoering van de AVG daar blijft steken.
Zoals vaak zijn er meerdere oorzaken aan te wijzen.
De eerste is de toelichting en de uitleg van de AVG. De AVG is complex en ingewikkeld, maar dat geldt ook voor de andere wetten. De AVG gebruikt algemene termen (soms zelfs vaag), maar ook dit is geen uitzondering. Het probleem van de AVG is de uitwerking en toelichting ervan door de wetgever in richtlijnen, resoluties, voorbeelden, voorschriften enzovoort zoals bij andere wetten het geval is. Het contrast met de andere wetten, die wel tot in de detail zijn uitgewerkt, is groot.
De tweede oorzaak is voorlichting. Er is wel voorlichting te vinden over hetgeen de AVG inhoudt, maar geen voorlichting over wat er concreet moet worden gedaan en hoe.
De derde oorzaak is het ontbreken van certificering. Op dit moment is het voor bedrijven die maatregelen hebben genomen, niet mogelijk om vast te stellen of het voldoende is geweest en waardoor ze doorlopend in onzekerheid blijven.
De vierde oorzaak is de onmogelijkheid om de vaktechnisch kwaliteiten van de functionaris gegevensbescherming (FG) te controleren. Er is geen voorgeschreven opleiding of verplichte inschrijving in een register. (Er is wel een vrijwillig register). Zonder criteria zal een bedrijf aarzelen met inhuren of aannemen van een FG.
De vijfde oorzaak is de wildgroei aan partijen die aangeven dat het bedrijf AVG-“proof” wordt kan worden gemaakt. Vaak blijkt het een cosmetisch oplossing, geen oplossing, te beperkt, niet uitvoerbaar zonder grote eigen kennis, te complex, te tijdrovend of te duur. Maar meestal een combinatie.
De zesde oorzaak zijn de kosten. De AVG vereist doorlopende controle van de werking op detail niveau en dat kost tijd en geld. Dat de AVG is doorgevoerd betekent niet dat het op een later tijdstip nog functioneert.
Het was dan ook te verwachtten dat bedrijven geen zin hebben of tijd willen besteden aan de AVG als niet;
– duidelijk is wat er gedaan moet worden en hoe.
– kan worden vastgesteld of het eindresultaat goed is.
– zeker is of de ingehuurde of aangenomen partij wel de kennis heeft.
– kan worden bepaald wat het gaat kosten.
– zeker is of maatregelen doorlopend blijven werken.
