Bedrijven zijn gedeeltelijk klaar voor de AVG

Nu zelfs het NOS journaal er over begint te berichten, kan niemand er meer omheen: de nieuwe privacywet komt er aan. Met minder dan een maand te gaan blijken veel bedrijven nog niet klaar voor de AVG. Dit is de voorlopige uitkomst van ons onderzoek aan de hand van een compliance checklist ontwikkeld in onderzoek van de Vrije Universiteit Amsterdam en ICT Institute.

Onderzoeksaanpak

De gebruikte checklist is ontwikkeld in het kader van mijn afstudeeronderzoek. De checklist stelt aan de hand van vragen aan de directie vast in hoeverre bedrijven voldoen aan de inhoudelijke punten van de AVG. Tijdens een van de privacy-trainingen van ICT Institute heb ik van vijf deelnemers vastgelegd of zij klaar zijn voor de desbetreffende onderdelen van de AVG, en hoe zeker zij hier van zijn. Na dit gecombineerd te hebben met uitslagen van de eerste experimenten, werd het volgende duidelijk:

“Voldoet u aan de eisen die de AVG stelt op het gebied van de volgende onderwerpen?”

Compliance aan de AVG is vastgesteld aan de hand van harde criteria. Voor het eerste punt (register van verwerkingen) is de eis bijvoorbeeld dat er een register is, en dat deze volledig is. Voor het tweede punt (functionaris gegevensbescherming) is het voldoende dat er een onderbouwd besluit over de aanstelling van een functionaris gegevensbescherming is gedocumenteerd.

Naast de vragen over compliance, is de deelnemers ook gevraagd naar het vertrouwen in het antwoord. Dit is gedaan omdat veel van de punten van de AVG om een eigen inschatting vragen. Met deze vraag kan vastgesteld worden welke punten van de AVG duidelijk zijn, en op welke punten er onzekerheid is.

“Hoe zeker bent u daar van op een schaal van 1 tot 5?”

Eerste uitkomsten

Uit deze eerste meting (met nog een klein aantal deelnemers) komen al interessante resultaten naar voren. Ten eerste blijkt dat privacy by design en privacy by default, het register verwerkingsactiviteiten, en ook de Data Protection Impact Assessment (DPIA) de moeilijkste onderdelen zijn van de AVG. Deze onderdelen zijn het vaakst genoemd als nog niet op orde. Bij ICT Institute vinden we de implementatie van privacy by design en privacy by default zelf ook lastig, omdat hier over weinig praktische uitgangspunten bekend zijn. De AVG zelf geeft alleen principes. Uit onze eigen ervaring en dit onderzoek blijkt dat er behoefte is aan uitwerking in richtlijnen.

Uit de vraag naar het vertrouwen in de inschatting, blijkt ook onzekerheid over de DPIA. Deze effect-beoordeling is blijkbaar voor veel bedrijven nieuw en wordt als relatief lastig gezien. Daarnaast zijn er vragen over het bepalen van wie de leidende toezichthouder is. Deze uitkomst verbaast ons. We vermoeden dat dit vooral komt doordat de term leidende toezichthouder (supervisory authority) nieuw is en er veel Engelstalige bronnen worden gebruikt. Er is in Nederland maar 1 toezichthouder (de Autoriteit Persoonsgegevens) en voor de 99% van de Nederlandse bedrijven zonder buitenlandse vestigingen kan men eenvoudig vaststellen dat dit de bedoelde toezichthouder is. Door middel van meer interviews willen we achterhalen wat hier aan de hand is.

Vervolgstappen

Het AVG-onderzoek van ICT Institute loopt nog en we zijn nog op zoek naar meer bedrijven die hun AVG-compliance willen laten toetsen. Wilt u meedoen aan dit onderzoek, mail dan naar joost.krapels_at_ictinstitute.nl. Het onderzoek is gratis, duurt bij benadering 60 minuten (interview en gebruik van een tool), u leert hierbij veel over de AVG en komt er achter of u compliant bent. Ook voor meer uitgebreide reviews of ondersteuning kunt u terecht bij ICT Institute.

Bron afbeelding: @joaosilas via unsplash