De 5 grootste risico’s bij een onjuiste implementatie van de AVG
Thijs Peeters |Jouw bedrijf heeft ongetwijfeld actie ondernomen toen de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 werd ingevoerd. Maar weet je zeker dat je niets over het hoofd gezien hebt?
In de praktijk merken wij dat veel bedrijven niet op alle punten voldoen aan de eisen van de AVG. Dit is geen onwil, maar meer een kwestie van onbekendheid over deze regelgeving. De AVG is nu eenmaal een complexe wet die je organisatie meer beïnvloedt dan dat je wellicht in de gaten hebt. Een onjuiste implementatie van de AVG kan grote gevolgen hebben voor je bedrijf: dit loopt namelijk nog steeds verschillende risico’s. Dit zijn de 5 grootste risico’s die wij zien bij een verkeerde implementatie van de AVG:
AVG risico 1: Een verkeerde inschatting van een datalek
Bij het woord ‘datalek’ denk je misschien aan persoonsgegevens die op straat komen te liggen – al dan niet veroorzaakt door een kwaadwillende hacker. Maar wist je dat er nog op veel meer manieren een datalek kan ontstaan?
- Per ongeluk mensen in de cc zetten in plaats van de bcc
- Per ongeluk vertrouwelijke gegevens sturen naar een verkeerd e-mail- of postadres
- Verlies/diefstal van mobiele telefoon, laptop of usb-stick
- Persoonsgegevens delen met een partij waarmee geen verwerkersovereenkomst is gesloten
- Documenten met personeelsgegevens bij het oud papier zetten
Het is dan ook erg belangrijk, dat je deze mogelijke risico’s meeneemt bij de implementatie van de AVG binnen je organisatie.
Daarnaast moet je weten dat je ernstige datalekken moet melden bij de Autoriteit Persoonsgegevens.
AVG risico 2: Een eigen interpretatie van de AVG en privacyrisico’s
Niemand zal ontkennen dat de AVG een ingewikkelde wet is. Als ondernemer moet je bedrijf aan alle punten van de AVG voldoen, maar hoe je dit doet kan op verschillende manieren geïnterpreteerd worden. Dit verhoogt het risico op een onjuiste implementatie van de AVG.
Bovendien kan het een heel karwei zijn om alle verschillende bedrijfsprocessen in kaart te brengen. Deze bedrijfsprocessen heb je namelijk nodig om een risicoanalyse te maken, waarna je – als het goed is – weet welke mogelijke privacyrisico’s er zijn. Een incomplete risicoanalyse zal dan ook gevolgen hebben voor de implementatie van de AVG.
AVG risico 3: Een verkeerd beeld van aanwezige persoonsgegevens
Bij de AVG draait het uiteraard om de bescherming van de persoonsgegevens binnen je organisatie. Maar weet je eigenlijk wel welke gegevens dit precies zijn? En wat je moet vastleggen om aan de eisen van de AVG te voldoen?
De AVG verplicht je om de volgende processen rondom het bewaren en delen van persoonsgegevens vast te leggen:
- Waar de gegevens worden opgeslagen
- Wie er bij welke gegevens kunnen
- Met wie de gegevens gedeeld worden
- Hoe lang de gegevens bewaard worden
Onder persoonsgegevens verstaat de AVG ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Denk dus niet alleen aan de gegevens van je klanten, maar ook die van je personeel, inhuurkrachten en freelancers, leveranciers of leden.
AVG risico 4: Een vals gevoel van veiligheid
Veel AVG-implementaties zijn uitgevoerd door een ‘specialist’. Dat klinkt natuurlijk als een verstandige aanpak, maar het nadeel is dat hierbij vaak maar één onderdeel is aangepakt. Zo zijn er bijvoorbeeld een cookiemelding en een privacyverklaring op de website geplaatst, maar wordt er niet gekeken naar juridische of IT-gerelateerde vraagstukken. Of de AVG is alleen toegepast op de afdeling Personeelszaken, maar men is vergeten om ook naar andere afdelingen te kijken. Dit levert een vals gevoel van veiligheid op.
Ons advies is om een multidisciplinair team in te zetten, zoals wij dat voor jou kunnen regelen. Hiermee haal je meerdere specialisten met ieder hun eigen expertise in huis. Je weet daardoor zeker dat alle aandachtsgebieden van de AVG onder de loep gelegd worden.
AVG risico 5: Boetes en imagoschade
Tot slot is een boete van de Autoriteit Persoonsgegevens een flink risico. Wanneer je organisatie niet voldoet aan de maatstaven van de AVG, kan je dit een boete opleveren van maar liefst 4 procent van je wereldwijde jaaromzet.
Wat je echter ook zeker niet mag onderschatten, is de mogelijke imagoschade die je bedrijf op kan lopen. In een tijd waarin privacy steeds belangrijker wordt, wil je niet bekend komen te staan als ‘dat bedrijf dat niet zorgvuldig omgaat met persoonsgegevens’. Een slecht imago verspreidt zich snel en kan niet snel ongedaan worden gemaakt. Zorg er daarom voor dat je alle mogelijke risico’s met de AVG ondervangen hebt en de implementatie van de AVG vlekkeloos én volledig verloopt.
Voldoet jouw bedrijf al aan de AVG? Doe de gratis AVG Risico Scan.
Wil je weten of jouw bedrijf risico's loopt omtrent de AVG? Doe de gratis AVG Risico Scan.