Lang niet alle bedrijven zijn klaar voor de Algemene Verordening Gegevensbescherming (AVG), die 25 mei in werking treedt. Hoewel zij twee jaar de tijd hebben gehad om zich voor te bereiden op de nieuwe privacyregels, ziet het ernaar uit dat veel bedrijven de deadline niet gaan halen. Bedrijfsjuristen hebben hun handen vol aan de AVG. In een artikel in het nieuwe nummer van Mr., dat afgelopen vrijdag verscheen, vertellen enkele bedrijfsjuristen over hun AVG-aanpak.
De AVG zorgt voor versterking en uitbreiding van privacyrechten, meer verplichtingen en verantwoordelijkheden voor betreffende organisaties en geeft alle Europese privacytoezichthouders dezelfde bevoegdheden. Zo kunnen ze bij overtredingen boetes opleggen tot twintig miljoen euro of vier procent van de wereldwijde omzet.
Organisaties kregen twee jaar de tijd gekregen om hun systemen, processen en interne organisatie af te stemmen op de nieuwe privacyregels. Toezichthouders en privacy-experts adviseerden hier tijdig mee te beginnen en zo snel mogelijk de benodigde kennis in huis te hebben. Desondanks zijn veel bedrijven en andere organisaties hier nog druk mee bezig. Uit enquêtes van verschillende onderzoeksbureaus bleek dat half april ruim de helft van de bedrijven de zaken nog niet op orde had. Vorig jaar werd al gewaarschuwd voor een toenemend tekort aan specialisten, zoals privacy counsels, compliance officers en functionarissen voor de gegevensbescherming (FG). “Wie dit kort voor mei 2018 nog denkt te regelen, is te laat”, meldde Thomas van Vliet, recruitment consultant Legal bij Robert Walters, afgelopen zomer in Mr. Nu zegt hij: “Bedrijven proberen op verschillende manieren specialistische kennis in huis te halen. Ze schakelen een advocatenkantoor in, laten zich ondersteunen door consultants of huren een legal professional met privacy-expertise in. Omdat alles nog nieuw is zijn er bijna geen kandidaten in de markt met precies het geschikte functieprofiel. We zien dat bedrijven creatief zoeken naar een oplossing voor dit probleem. Een positieve ontwikkeling is dat tal van bedrijfsjuristen bezig zijn hun privacykennis te vergroten.”
Privacy & IT Security is een van de ‘wakkerligpunten’ van de bedrijfsjurist, bleek uit onderzoek van Houthoff onder ruim 200 bedrijfsjuristen in 2017. Maar liefst 83% van de geënquêteerden ligt wel eens wakker over vraagstukken op dit gebied. Toen dit onderzoek eind maart tijdens de door Houthoff en het Nederlands Genootschap van Bedrijfsjuristen georganiseerde Bedrijfsjuristen Monitor werd gepresenteerd, werd duidelijk dat veel bedrijfsjuristen in het kader van de naderende AVG inmiddels al veel werk hebben verzet en procedureel hun zaken redelijk goed op orde hebben.
Grote kluif
Dat geldt bijvoorbeeld voor Ayche Linsen, senior legal counsel bij HEMA, waar thema privacy is opgedragen aan de afdelingen Audit & risk en Legal. Ook de ICT-manager is er nauw bij betrokken. Linsen: “In de afgelopen twee jaar, en ook ervoor al, is er heel veel werk verzet.” Ook onder de Wet bescherming persoonsgegevens gold al een informatieplicht, maar de AVG werkt dit concreter uit en stelt eisen aan de transparantie van de verwerking en communicatie naar betrokkenen. Bestaande en nieuwe klanten moeten duidelijk geïnformeerd worden over wat er met hun persoonsgegevens gebeurt. Dit kan in een online privacyverklaring. “Toen ik in 2016 bij HEMA begon heb ik me meteen gericht op het loyaltyprogramma, dat koopgedrag van klanten beloont en bevordert, en de privacyverklaring. Om te voldoen aan de eisen van de AVG moesten dit loyaltyprogramma en privacysta-tement meer op elkaar worden afgestemd. Ook hebben we een datalek-responsteam geformeerd.”
Veel organisaties zijn verplicht een register van verwerkingsactiviteiten bij te houden. Dit geldt onder andere voor organisaties met meer dan 250 medewerkers, zoals HEMA. De AVG schrijft voor welke informatie een ‘verwerkingsverantwoordelijke’ en de ‘verwerker’ die in diens opdracht informatie verwerkt in dit register moeten geven. Zo moeten verwerkingsverantwoordelijken informeren over doel van de opslag, bewaartermijn en beveiligingsmaatregelen. Linsen: “Met dit register ben ik al heel vroeg begonnen. We hebben een interne scan uitgevoerd waarbij we iedereen hebben gevraagd nog eens goed te kijken naar alle overeenkomsten die met leveranciers en ketenpartners zijn gesloten. Op basis daarvan hebben we het register opgesteld. Ook onze eigen verwerkingen moeten we daarin opnemen.”
Om medewerkers voor te lichten over het nieuwe privacybeleid startte HEMA een awareness-programma, waarbij workshops zijn gegeven aan verschillende afdelingen. “Dat was een grote kluif”, zegt Linsen. “We zien nu duidelijk dat medewerkers zich bewuster zijn van de noodzaak van de nieuwe privacyregels. Ook nieuwe collega’s zullen worden voorgelicht. Het privacybeleid is een proces dat permanent onderhoud en alertheid vergt.”
In februari heeft HEMA een externe organisatie laten beoordelen hoe ‘AVG-compliant’ het bedrijf nu is. “Hiermee hebben we nog meer inzicht gekregen in wat er nog moest gebeuren. Dat werk hebben we uitbesteed.”
Linsen vertrouwt erop dat de Autoriteit Persoonsgegevens, die toeziet op de naleving van de nieuwe verordening, proportioneel zal optreden. “De AVG is nieuw voor iedereen en organisaties werken zich een slag in de rondte om alles op orde te krijgen. Ik ga ervan uit dat er bij overtredingen eerst een waarschuwing wordt gegeven voordat er stevige boetes worden uitgedeeld. Ik verwacht wel dat de AP een voorbeeld zal willen stellen en het is denkbaar dat dit gebeurt bij een in het oog springend bedrijf als HEMA.”
Cultuurverandering
Ook Vebego International is ruim twee jaar geleden begonnen zich op de nieuwe regels voor te bereiden. Met ruim 35.000 medewerkers is dit internationaal opererende familiebedrijf actief in facility services, publieke sector en gezondheidszorg. Vebego bestaat uit meer dan 100 bedrijven in Nederland, België, Duitsland en Zwitserland.
Volgens general counsel Danielle Adams vergt de AVG vooral een cultuurverandering. “Zowel intern als extern werd de urgentie van goede privacybescherming nog niet gevoeld. We merkten dat vooral degenen met wie Vebego samenwerkt niet zoveel belang hechtten aan privacybescherming. We hebben ons er eerst op gericht onze medewerkers bewuster te maken van deze materie. Ik ben met alle bedrijfsdirecteuren in gesprek gegaan en heb presentaties gegeven aan alle afdelingen van al onze bedrijven. Daarin gaf ik met praktijkvoorbeelden aan wat er kan gebeuren wanneer onzorgvuldig wordt omgegaan met persoonsgegevens. We merkten al snel dat medewerkers elkaar op het belang van zorgvuldige privacybescherming gingen aanspreken.”
Vervolgens zijn er vijftien privacy-officers aangesteld, die met regelmaat bijeenkomen, en is nieuw beleid geformuleerd, waaronder bewerkersovereenkomsten en een privacystatement. Daarna is er een FG aangesteld. “Ik ben vooral projectmanager. Ik moet ervoor zorgen dat het beleid geïmplementeerd wordt en geïntegreerd in processen. Voor aan de AVG gerelateerde juridische ondersteuning heb ik nauwelijks tijd. Daarvoor heb ik een externe juridische afdeling, een kantoor van bedrijfsjuristen, ingeschakeld met wie ik al vaker samenwerkte.”
Na de zomer heeft Vebego een quick scan laten uitvoeren door zijn accountant. “Hiermee konden we toetsen hoe ons projectplan extern werd beoordeeld en wilden we intern laten zien hoe we in de toekomst zullen worden ge-audit. Op basis van de uitkomsten is een actieplan gemaakt waarmee we weer aan de slag zijn gegaan. Zo wordt er nu aan gewerkt enkele IT-applicaties de juiste functionaliteit te geven.”
Adams benadrukt dat ze het doel van de nieuwe privacyverordening onderschrijft. “Maar van de bureaucratie waartoe de AVG leidt word ik niet vrolijk. Dit heeft ook te maken met de wijze waarop Vebego is georganiseerd. Qua omvang en omzet zijn we een multinational, maar eigenlijk zijn we een verzameling van ruim honderd bedrijven die werkzaam zijn in verschillende sectoren. De cultuurverschillen zijn groot en dat maakt implementatie extra lastig. Elk dochterbedrijf vergt maatwerk. Eigenlijk heb ik zo heel veel bedrijven geadviseerd over privacy.”
Klik voor het complete artikel op deze link.
