De AVG invoeren of nog (even) wachten?
De AVG is ingegaan op 25 mei 2018 is en elk bedrijf dat onder AVG valt moet ervoor zorgen dat het bedrijf aan de vereisten van AVG voldoet.
Het zou mooi zijn als dat ook zo was, maar in de praktijk zijn veel bedrijven nog niet zodanig ingericht dat ze aan de AVG kunnen voldoen. Er zijn meerdere redenen waarom dit het geval is.
De onbekendheid met de wet, hoge kosten voor het invoeren ervan en het ontbreken van de kennis over hoe het bedrijf moet worden aangepast om eraan te voldoen zijn daar voorbeelden van.
Wat er ook niet aan bijdraagt is dat de wet pas (relatief) kortgeleden is ingevoerd, niet erg gedetailleerd is en er nog geen goede richtlijnen zijn.
Bedrijven zien dat bij veel andere bedrijven er niets of weinig aan gedaan wordt.
De bedrijven die voldoende bekend zijn met de wet en eraan willen voldoen kunnen toch in een tweestrijd zijn en zich afvragen;
- Voeren we de AVG nu in of kan het wachtten?
- Maken we de kosten voor en besteden we de tijd aan het invoeren van de verplichte AVG?
- Wat is het risico als we het niet doen?
Wanneer controleert de AVG?
De AP controleert op dit moment alleen nog naar aanleiding van datalekken.
De boetes die tot en met heden zijn uitgedeeld door Autoriteit Persoonsgegevens (AP) betreffen vooral de grotere bedrijven in de risicosectoren. Sectoren waar het nog niet goed geregeld is en de gevolgen het grootst zijn. Vaak zijn dit ook de sectoren waar de invoering van de AVG niet makkelijk is en er sneller datalekken ontstaan.
Veel controles hebben nog niet tot boetes geleid omdat er (wat) tijd gegeven werd om de zaken op orde te krijgen. Tel daar de afgelopen jaren bij op waarin veel zaken zijn opgeschort en uitgesteld.
Er is de mogelijkheid dat een bedrijf is gemeld bij de AP door een relatie of klant van het bedrijf, waarvan het bedrijf de rechten heeft geschonden door de AVG niet te volgen. Er lijkt vooralsnog niet veel mee te worden gedaan.
Een bedrijf heeft de grootste kans op een controle als er een datalek is geweest, het om een sector gaat die de aandacht heeft en de aard en omvang van het lek ernstig is.
Wat is het risico op een boete bij een controle?
Als er een datalek is, is er al iets misgegaan. Dat wil niet zeggen dat er na de controle ook een boete volgt. Als het bedrijf de AVG heeft ingevoerd en er ondanks alle inspanningen is toch een lek geweest, is de kans op een (hoge) boete klein. Er is immers voldaan aan de inspanningsplicht.
Ook als dat niet zo is, is er nog een mogelijkheid om de schade te beperken;
Als er direct na het lek alles aan gedaan wordt om het bedrijf AVG bestendig te krijgen, wordt dat ook meegenomen bij de vaststelling van de boete.
In de andere gevallen volgt er een boete (uitzonderingen daargelaten).
Ook dan worden de omstandigheden meegenomen in de beoordeling, maar zal het meestal tot een hoger boete leiden.
Het is overigens niet zo, dat als een datalek niet bekend wordt bij de AP en er geen controle volgt.
Er is een plicht om zelf richting de AP-data lekken te melden. (Deze plicht is er niet voor alle datalekken). Niet melden daarvan is op zich al een overtreding.
Afwachten dan maar?
Bij een bedrijf dat de ICT en organisatie niet op orde heeft is het wachten op een datalek.
(de technische en organisatorische maatregelen vormen de basis van de AVG).
Als er alleen wordt gekeken naar de kans op een boete kan het een overweging zijn om te wachten.
Maar er zijn meer afwegingen dan alleen de boete om te besluiten om de AVG compliance nu te realiseren.
De AVG heeft een reden en dat is onder andere het voorkomen dat persoonlijke gegevens van klanten en relaties van een bedrijf terecht komen bij een partij die ze helemaal niet behoort te hebben (een datalek).
Datalekken kunnen leidden tot reputatie schade en schade voor de personen waarvan de gegevens zijn gelekt. Dat leidt tot omzet verlies en claims als de personen van wie de belangen zijn geschaad het er niet bij laten zitten.
Als de ICT en de procedures niet op orde zijn en een hacker heeft toegang tot de systemen kan dat leiden tot het ontoegankelijk of vernietigen van gegevens en het blokkeren van de bedrijfsactiviteiten. Ook dat leidt tot schade.
Het gevolg kan zijn dat er “losgeld” wordt gevraagd om weer bij de systemen en gegevens te kunnen komen (in het geval van ransomware). Dan komt er nog een extra bedrag bij. En dan is nog maar de vraag of daadwerkelijk weer toegang tot de data wordt gekregen.
Een verzekering zal niets uitkeren als het bedrijf de AVG niet op orde heeft. Of geen verzekering aanbieden voordat het op orde is.
Als alle risico’s worden afgewogen is het beter om niet af te wachten tot het een keer (goed) fout gaat en de AVG nu in te voeren.