Dankzij alle media-aandacht is de AVG bij bijna iedereen in Nederland wel bekend. Alleen hekelen veel organisaties de wet vanwege de talrijke voorschriften en voorwaarden. De AVG wordt door veel bedrijven ‘lastig’ gevonden. De regels zijn ingewikkeld en het kost veel tijd om je organisatie aan te passen zodat alles aan de wetgeving voldoet. Er zijn daarom ook nog heel wat bedrijven die helemaal niet aan de AVG-regels voldoen. Ten tijde van de invoering van de AVG was ongeveer 30 procent van de organisaties ‘AVG-proof’. Geschat wordt dat dat percentage op dit moment ergens rond de helft ligt.
Bedrijfsprocessen aanpassen aan de AVG heeft niet alleen veel tijd maar ook veel geld gekost, bleek eerder dit jaar uit een onderzoek. Bij grote organisaties met meer dan 500 werknemers lopen de kosten op tot 20.000 euro. Ruim een kwart heeft 2.000 euro of minder heeft uitgegeven aan de invoering van de AVG. Dat geld ging niet alleen op aan technologische aanpassingen, maar vooral ook aan trainingen en cursussen voor bijvoorbeeld een functionaris gegevensbescherming (FG).
AVG-certificaat
Vanuit de markt bestaat wel de behoefte aan een AVG-certificaat. Eerder waren er al geluiden van bedrijven die adverteerden met nepcertificaten. Om die wildgroei tegen te gaan heeft NLdigital (voorheen Nederland ICT) de zogeheten Data Pro Code opgesteld. Dit moet een officieel AVG-certificaat worden, maar omdat nog niet alles door de Autoriteit Persoonsgegevens is goedgekeurd, mag het formeel nog geen AVG-certificaat heten.
De Data Pro Code moet een laagdrempelige en heldere manier zijn voor bedrijven om hun gegevensbescherming en verwerkersactiviteiten conform de AVG in te richten, stelt NLdigital. Ook wordt er op de naleving van de privacyregels toezicht gehouden, door middel van een auditproces dat bedrijven moeten doorlopen voordat ze in het register wordt opgenomen, aldus de brancheorganisatie.
Privacy-bewustwording
Wat de invoering van de AVG in ieder geval bereikt lijkt te hebben, is bewustwording. De AVG lijkt bedrijven meer bewust te hebben gemaakt van hun verantwoordelijkheden op het gebied van de privacy van klanten of relaties. En omdat goede IT-beveiliging niet alleen een zaak is van het implementeren van een technologie maar ook sterk afhangt van het gedrag van medewerkers, is er een branche die floreert sinds de invoering van de AVG. Dat zijn de partijen die security-awareness-trainingen aan (niet IT-)medewerkers geven, waaronder veel securityserviceproviders Veel organisaties en IT-partners zien het belang om medewerkers een minimum aan security-bewustwording bij te brengen.
Goede IT-beveiliging is niet alleen een zaak van technologie maar hangt ook sterk af van het gedrag van medewerkers
Channelpartners kunnen daar – in hun rol als ‘trusted advisor’ – mooi op inspringen en hun klanten helpen om risico’s te verminderen of te vermijden. Zo nu en dan blijkt uit onderzoek dat veel organisaties en vooral medewerkers nog steeds niet weten hoe of bij wie ze een datalek moeten melden. Er is dus nog wel wat werk aan de winkel.
[Dit artikel is eerder gepubliceerd in het Security Dossier 2019]