En dan heb jij als lokale groenteboer veel moeite gedaan om AVG-proof te worden en wat lees je dan in de krant? Maar liefst zes banken hebben de maatregelen rondom de nieuwe privacywetgeving nog niet op orde. Ik wist niet eens dat we nog zes banken hadden.
Maar liefst zes banken voldoen nog niet aan de nieuwe verplichting uit de privacywetgeving om een functionaris voor gegevensbescherming aan te stellen. Hoe kun je dat als privacygevoelige instelling niet voor elkaar hebben? Lijkt me niet de moeilijkste opdracht. Je moet gewoon iemand aanwijzen. Iemand met een stropdas en een mavodiploma. Die lopen er genoeg rond.
Natuurlijk voldoet nog niet iedereen aan de nieuwe privacywet, maar je mag toch aannemen dat in sectoren waar privacy een heel belangrijke rol speelt en waar deze wet voor bedacht is, dit natuurlijk tot in de puntjes geregeld hebben. Is het niet houden aan de privacywet ook een optie dan voor dit soort bedrijven? Of is de privacywet eigenlijk meer een richtlijn? Een aanbeveling? Een suggestie. Kijk maar wat je er mee doet.
De Autoriteit Persoonsgegevens heeft het onderzocht en dit gemeld aan de banken. Ze hebben gezegd nu weer verder te gaan met onderzoeken. De Autoriteit Persoonsgegevens lijkt een beetje op een politieagent die je aanhoudt voor te hard rijden, dit aan je meldt en je vervolgens een fijne dag toewenst. Waar blijven de boetes? Niet dat dit helpt bij banken want die hangen de boete gewoon op het prikbord in de kantine zodat iedereen in de pauze even lekker hard kan lachen.
Gestolen fiets
Sinds de invoering van de AVG hebben de Europese privacytoezichthouders al zo’n 18.000 meldingen van datalekken ontvangen. Aangifte doen van je gestolen fiets heeft meer kans van slagen. De enigen die tot nu toe van de privacywetgeving hebben geprofiteerd, zijn consultants die hieraan bakken met geld hebben verdiend.
Misschien wordt het tijd dat we de wet gaan handhaven en straffen gaan uitdelen. Zeg in ieder geval even ‘foei’.
‘Natuurlijk voldoet nog niet iedereen aan de nieuwe privacywet.’
Niet? Natuurlijk wél.
Daar heeft men immers van de GDPR ruim twee jaar de tijd voor gekregen.
Twee jaar implementatietermijn en volle seminars, conferenties en workshops voor bewustwording en voorbereiding.
De AP bood voorlichtingsbijeenkomsten, guidelines, informatie op de website en een regelhulp.
Het in 2016 aanstellen van een DPO om de bewustwording en implementatie in goede banen te leiden naar mei 2018 was een no-brainer.
Dat het allemaal weinig zoden aan de dijk heeft gezet is evident.
Dat het merendeel van de Nederlandse overheden en bedrijven niet of nauwelijks aan de basiseisen van de GDPR voldoet is een voldongen feit.
Te laat of niet aanstellen van een DPO impliceert dat ook de basiseisen van de GDPR dus niet zijn geïmplementeerd.
Bij de nodige overheden en bedrijven is de DPO-rol gewoon via sub-sub-delegatie bij iemand op het bordje erbij geschoven. Hetgeen de vereiste onafhankelijkheid van de DPO-rol direct ter discussie stelt.
Dat het toezicht van de AP een wassen neus zou zijn was bij voorbaat duidelijk. Capaciteitsgebrek en sussende woorden dat het allemaal niet zo’n vaart zou lopen verhoogden de sense of urgency niet.
Dat de AP nagelaten heeft hierop zijn werkwijze aan te passen is eveneens evident.
Dat controle op GDPR-compliance het beste zou kunnen beginnen met de controle op de aanstelling van een DPO was immers een vanzelfsprekendheid.
Daarvoor hoefde de AP alleen maar het eigen ‘Register FG’ af te draaien tegen de lijst van overheden en tegen een uitdraai van inschrijvingen bij het privacy-wrak dat Kamer van Koophandel heet.
Een dergelijke controle hoefde zelfs handmatig hooguit een paar dagen te duren. Verzending van ingebrekestellingen nog een paar dagen extra. Dan was er eind juni 2018 reeds volstrekte duidelijkheid geweest.
Coulance zou daarbij niet aan de orde mogen zijn. Organisaties die niet voldoen aan hun DPO-verplichting hebben immers twee jaar op hun handen gezeten. Dat kan nauwelijks iets anders zijn dan opzet of grove nalatigheid bij het hoofdbestuur van deze organisaties. Dat de basiseisen van de GDPR daar dus niet zijn geïmplementeerd is bijna een gegeven.
Nu krijgen deze 6 banken en 9 verzekeraars nog eens extra tijd. Hebben zij al wel een FG maar deze alleen nog niet aangemeld bij de AP, dan krijgen ze hier alsnog 2 weken de tijd voor. Als blijkt dat de organisatie nog geen FG heeft aangesteld dan moeten zij van de AP deze overtreding beëindigen en alsnog binnen 4 weken een FG aanwijzen.
Wedden dat dit dus 4+2=6 weken gaat duren? Inzettijd uiteraard, niet doorlooptijd, want de de laatste week van 2018 en de eerste week van 2019 zijn zoals bekend Kerst-/ski-vacantie. Dan staat bij banken en verzekeraars alles op een extra laag pitje.
De AP zal dus op zijn vroegst pas eind januari 2019 met een last onder dwangsom komen.
Zoals de AP al stelde “Men kan geen ijzer met handen breken”.
Zou het opnieuw een no-brainer zijn om juist deze 6 banken en 9 verzekeraars even bovenaan het lijstje te zetten van organisaties die in 2019 zullen worden doorgelicht op de compliance voor GDPR-basiseisen?
Kennelijk klotst het geld nog steeds bij die banken tegen de lambrizering.
Ik zeg: deel de eerste boetes uit en blijf dit herhalen tot het wel geregeld is. Zoals P.J. Westerhof al zegt: alle instellingen hebben ruim de tijd gehad om hun maatregelen te nemen, ze zijn ruim op tijd in- en voorgelicht.
Haal het geld voor de boetes uit de bonus-pot van de CxO’s en moet je eens kijken hoe snel het dan geregeld is.