AVG na 6 jaar en de komst van NIS2

AVG en NIS2 

Door de aankomende invoering van NIS2 (zie onze blog NIS2: De volgende stap voor aanbieders van essentiële én belangrijke diensten (2-control.nl)) lijkt de AVG wel weer wat meer onder de aandacht te komen. Beide wetgevingen hebben ook overlap, aangezien ze beide "passende technische en organisatorische maatregelen" voor een op een risico afgestemd beveiligingsniveau vereisen en een meldplicht hebben.  

De AVG (de wetgeving van de Europese Unie die in mei 2018 van kracht is geworden) heeft echter tot doel om de privacy-rechten van individuen te beschermen en bedrijven te verplichten zorgvuldig om te gaan met persoonsgegevens. NIS2 is daar tegenover gericht op het beschermen van digitale infrastructuren en ervoor zorgen dat essentiële diensten en belangrijke digitale dienstverleners hoge normen op het gebied van cyberbeveiliging in stand houden. 

Consumentenvertrouwen 

Uit een onderzoek van KPMG in 2023 (5 jaar na invoering van de AVG) blijkt dat consumenten veel meer vertrouwen hebben in het feit dat de bescherming van hun gegevens is verbeterd (AVG en het perspectief van de Nederlandse consument - KPMG Nederland). Volgens mij moeten wij bij deze conclusie onderscheid maken tussen het vertrouwen van consumenten in de grote jongens (MS, Meta, Apple, enz) en de "gewone" ondernemingen. 

Bij de grote jongens is het moeilijk om als consument grip te krijgen en steunen wij met name op de Europese initiatieven. Denk aan de recente boete van 290 miljoen euro van Autoriteit Persoonsgegevens (AP) aan Uber (Boete Uber doorgifte naar VS | Autoriteit Persoonsgegevens). AP houdt uiteraard ook toezicht op de "gewone" onderneming, maar hier moet de directie toch echt zelf het vertrouwen geven. Helaas is het stil bij die bedrijven en staat privacy niet meer hoog op de gemiddelde directie-agenda. 

Implicaties AVG 

In tegenstelling tot NIS2, waarbij bestuurders worden gedwongen om de verantwoordelijkheid te nemen, kent AVG deze vorm van bestuurdersaansprakelijkheid minder concreet. Toch moet dat veranderen en roep ik via deze blog alle directies op om privacy weer op de agenda te zetten en de verantwoording te nemen. Stel vast dat je onderneming (nog) voldoet aan de vereisten om de privacy-rechten van individuen te beschermen.  

Praktische tips 

Een aantal praktische tips zijn: 

• Privacy-audits: Voer regelmatig audits uit om te controleren welke gegevens worden verzameld en hoe deze worden verwerkt. Dit helpt om eventuele risico’s te identificeren en aan te pakken. 
• Privacy by Design en Default: Integreer privacybescherming in alle stadia van productontwikkeling. Dit betekent dat vanaf het begin rekening wordt gehouden met privacy en niet pas achteraf. 
• Training en bewustwording: Zorg ervoor dat alle medewerkers op de hoogte zijn van de AVG en hun verantwoordelijkheden. Regelmatige training en bewustwordingscampagnes kunnen hierbij helpen. 
• Transparante communicatie: Informeer klanten duidelijk over welke gegevens worden verzameld, waarom deze worden verzameld en hoe ze worden beschermd. Dit kan via het privacybeleid op de website. 
• Beveiligingsmaatregelen: Implementeer technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, diefstal of ongeautoriseerde toegang. Denk aan encryptie, firewalls en toegangscontroles. 
• Incidentenbeheer: Zorg voor een duidelijk plan voor het geval een datalek optreedt. Dit plan moet procedures bevatten voor het melden van het lek aan de autoriteiten en de betrokkenen.
   

Onze rol als IT-auditor 

De AVG is een complexe maar essentiële wetgeving die bedrijven verplicht om zorgvuldig om te gaan met persoonsgegevens. Door de juiste maatregelen te nemen, kunnen bedrijven niet alleen voldoen aan de wet, maar ook het vertrouwen van hun klanten behouden c.q. winnen.  

Vanuit 2-Control hebben wij veel ervaring met de AVG en kunnen wij u uiteraard met bovenstaande helpen. 

Belangrijkste take-home message: Zorgt dat privacy structureel op de directie-agenda blijft!