Met nog zes weken voor de boeg voor de AVG, begint het bij sommige bedrijven wel te kriebelen, merken de adviseurs. "Bedrijven weten inmiddels dat de AVG er komt, dat de regels vrij streng zijn en dat er geen uitloop zal zijn na 25 mei", vertelt Meryem. "Doordat de situatie per bedrijf nogal kan verschillen en de terminologie voor veel bedrijven lastig is te begrijpen, krijgen wij veel vragen hoe we deze verordening praktisch kunnen maken, zodat bedrijven het in de praktijk kunnen toepassen. Daarom hebben we een zes-stappenplan gemaakt voor klanten om mee aan de slag te gaan. Vragen die daarbij aan de orde komen zijn: Met welke gevoelige informatie heb je als bedrijf te maken? Wat zijn je risico's voor de organisatie etc."
Niet hoogdravend
"Vaak beginnen we daarom eerst een quick scan van onze klanten te maken. Het maakt namelijk nogal uit of die uit vijf of vijfduizend FTE bestaat en of het bedrijf internationaal of alleen in Nederland actief is", vervolgt Julien. "Hoe streng de wet uiteindelijk gaat worden nageleefd, kan ik ook moeilijk inschatten. Wellicht wordt de soep niet zo heet gegeten als opgediend, maar de soep is er wel. En het vraagstuk is niet hoe groot de boetes gaan uitvallen bij een overtreding, maar dat je als bedrijf kunt aantonen dat je fatsoenlijk met privacygevoelige informatie omgaat. Iedere organisatie werkt met persoonsgegevens, dus het gaat iedereen aan. Bij een privacybeleid hoef je niet meteen aan hoogdravende zaken te denken, maar je moet wel op papier hebben staan wie je bent, wat je doet en welke rechten de mensen hebben, ofwel je moet uitleggen waarvoor je privacygegevens nodig hebt en waarom je deze dat wel of niet opslaat."
"Directies zijn nog weleens genegen om zaken als de AVG weg te delegeren naar bijvoorbeeld de boekhouder, maar dat is niet de bedoeling en ook niet volgens de wet", waarschuwt Meryem. "Natuurlijk hoeft een directeur of voorzitter van de raad van bestuur niet alles zelf uit te zoeken, maar hij of zij draagt uiteindelijk wel de verantwoordelijkheid. Niet voor niets wordt er een bestuursaansprakelijkheid aan de AVG verbonden. Wij zien ook in de praktijk dat de projecten die door de directie worden getrokken vele malen succesvoller zijn dan dat het zoveelste stuurgroepje wordt aangesteld."
Datakwaliteit een issue
In de AGF-sector is met name de datakwaliteit een hot issue. "Vanwege de krappe marges willen bedrijven ketenoptimalisatie realiseren. Hiervoor wordt veel data verzameld via meerdere tools. Er wordt in de keten heel veel geregistreerd, maar de beveiliging en kennis eromheen is vaak summier. Daarom is het wel belangrijk om datalekken te voorkomen", vervolgt Meryem. "Vaak liggen deze zaken in handen van externe systeembeheerders, maar dat is geen excuus, want ook als je het uitbesteedt, heb je de verantwoordelijkheid om te zorgen dat het op orde is. Soms vereisen zaken als het verwijderen van back-ups voor softwareleveranciers nog veel werk, waarbij meer aanpassingen nodig zijn dan in eerste instantie gedacht wordt. Dit mag voor de IT-leverancier echter geen aanleiding zijn om de hakken in het zand te zetten. Wij zien dat veel bedrijven op automatiseringsgebied daarom nog slagen moeten maken."
"Ook hebben klanten wel moeite met de juridische aspecten. Een verwerkersdocument wordt als een zwaar juridisch document gezien en daar is niet één toverdrankje tegen bestand. Wij adviseren onze klanten daarom altijd om hun relaties recht in de ogen te kijken om samen de eisen helder te hebben waaraan beide partijen moeten voldoen. Dat is veel beter dan niets afspreken en later in een discussie te belanden wie er schuldig is", vertelt Julien. Hij ziet zelf de AVG als een goede stap voor de privacy. "Over zeker 80% van de wetgeving ben ik erg positief. Het maakt dat bedrijven in de keten goede afspraken maken over privacy-aangelegenheden en ik zie ook wel committment in de keten om dit goed op te pakken. Een praktijkvoorbeeld is dat bedrijven vaak een visum aanvragen voor collega's die naar het buitenland gaan en zonder toestemming van het betreffende personeelslid een kopie van het paspoort ter beschikking stellen. Dankzij de AVG worden er nu documenten opgesteld waarbij de collega's toestemming verlenen om deze gegevens te gebruiken."
"Daarbij is de AVG geen dichtgetimmerde wet en sterk afhankelijk van de specifieke eigenschappen van de organisatie. Je kunt niet zomaar een template van een ander bedrijf kopiëren, maar de AVG dwingt je om goed naar je eigen situatie te kijken. In mijn optiek is het ook meer een inzetverplichting dan een resultaatverplichting. Door je eigen data- en privacybeleid in kaart te brengen kun je een risico-analyse maken wat wel of niet relevant is voor je organisatie. En de gouden regel hierbij is: gebruik gewoon je gezonde verstand. Als je de afspraken vastlegt en daar transparant over bent, is dat nog altijd een bak werk, maar ben je echt al een heel eind!"
Voor meer informatie:Julien Spronck / Meryem Sabotic-Deniz
BDO
030-28 40 981 / 070) 338 07 56
julien.spronck@bdo.nl
Meryem.Deniz@bdo.nl
www.bdo.nl/nl-nl/branches/flowers-food