Bij overheden en bedrijfsleven is lichte paniek ontstaan rond de invoering van de Algemene Verordening Gegevensbescherming (AVG). Iedereen moet op 25 mei 2018 namelijk echt voldoen aan de nieuwe Europese wet. Wie met de wetgeving bezig is weet het al langer: veel organisaties zijn niet klaar. En het zal ook niet tijdig lukken. Er komt nogal wat op de organisaties af.
De komst van de nieuwe regelgeving maakt diepe indruk in bestuurskamers. Dat komt niet eens zozeer door de vele nieuwe eisen, maar vooral de boetes die toezichthouders kunnen opleggen maken indruk. Een compliance-probleem heeft dan maximaal een prijskaartje van 20 miljoen euro. Tenzij de organisatie zodanig veel omzet heeft dat vier procent van de wereldwijde omzet, tot een hogere boete optelt. En voor de goede orde: zo’n boete geldt dan uiteraard per overtreding.
Achterstallig onderhoud
De dreiging van zo’n ingreep moet natuurlijk ook indruk maken. Er zullen in Nederland en daarbuiten gegarandeerd boetes worden opgelegd. Toch zijn er maar weinig bestuurders die nu vol overtuiging kunnen stellen dat hun organisatie voldoet aan de komende wetgeving. Sterker nog, zij hebben hun handen nog altijd meer dan vol aan het op orde krijgen van veel achterstallig onderhoud.
Aan veel ‘schokkende’ eisen moet nu ook worden voldaan. Veel van de eisen uit de General Data Protection Regulation (GDPR), zoals de AVG internationaal bekend staat, gelden nu al. Zo was beveiliging van persoonsgegevens al verplicht onder de Wbp en blijft dat ook. Maar in de nieuwe verordening staan enkele ‘stevige’ nieuwe eisen.
Alleen al de uitbraak van het gijzelvirus WannaCry heeft weer eens fijntjes aangetoond dat veel organisaties hun beveiliging niet op orde hebben. Wie namelijk beschikt over de laatste patches kan dan misschien op één enkele machine getroffen worden, maar verdere verspreiding is niet mogelijk. De inzet van een goede antimalware-oplossing zorgt ervoor dat zelfs na een infectie het virus geen schade kan aanrichten.
Ook is het sluiten van een overeenkomst met een leverancier die gegevens voor de organisatie verwerkt, een bewerkersovereenkomst, nu al verplicht. Toch blijkt vaak dat dit soort juridische handelingen met cloud-leveranciers, softwaredienstverleners en andere partijen bij veel organisaties volledig ontbreken. Ook de eis dat een organisatie duidelijk moet kunnen kunnen aangeven aan de betrokkenen (de persoon die het betreft) welke gegevens er nu precies verwerkt worden en waarom dat zo is, blijkt in de praktijk te rammelen. Net als de bijbehorende toestemming. Er is dan ook veel achterstallig onderhoud.
Hogere versnelling
Het probleem is alleen dat met de komst van de AVG het wegwerken van achterstallig onderhoud niet meer voldoet. De wetgever legt de lat vanaf 25 mei 2018 fors hoger. Zodra er persoonsgegevens bij zijn betrokken, speelt privacy in de hele informatie-lifecycle een centrale rol.
Lees het hele verhaal online of in ICT/Magazine van juni/juli.
