Vanaf vandaag geldt de Avg. En nu?
Het is 25 mei! Vandaag is de overgangsperiode naar de Avg officieel afgelopen en gaat er gehandhaafd worden. Zoals vaker met zwaar geanticipeerde data, zal vandaag waarschijnlijk een beetje een anticlimax worden. Hooguit kom je een aantal van dit soort “het is 25 mei” berichtjes tegen in je timeline. Of last-minute mailtjes van bedrijven die je toestemming willen hebben. Gister in de sportschool hoorde ik nog twee vrouwen klagen over de vele Avg-mailtjes in hun inbox.
Het is dan ook lastig om op dit moment niet nóg meer bij te dragen aan de enorme information overload die er de afgelopen maanden rond de Avg is ontstaan. Ik heb helaas veel halve waarheden, hardnekkige misverstanden en dubieuze claims voorbij zien komen. En ook nu, op de dag van de deadline, is er nog veel onduidelijk. Iedereen lijkt de Avg anders te interpreteren.
Dat is ook niet zo raar, want de inhoud van de Avg staat open voor interpretatie. De concrete invulling van de wet is per sector, of zelfs per bedrijf anders. Het doel van Nederland ICT is daarom vanaf het begin geweest om de open normen van de Avg in te vullen voor ICT-bedrijven. En dan specifiek voor hun rol van verwerker van data. Als branchevereniging zijn we in de ideale positie om dat te doen.
Onze invulling van de Avg voor verwerkers hebben we de Data Pro Code genoemd. Deze code is de basis voor de tools, workshops, self-assessments en advies op maat. Honderden bedrijven hebben daar de afgelopen maanden gebruik van gemaakt. En dat zal na 25 mei niet anders zijn. Sterker nog: we beginnen pas.
De volgende stap is de Data Pro Code officieel goed laten keuren door de Autoriteit Persoonsgegevens. De AP heeft aangeven hier na 25 mei mee te starten. Wij staan in de startblokken en hopen zo snel mogelijk goedkeuring te krijgen. We hebben dan een officieel vastgestelde branchenorm die vooral voor kleine tot middelgrote ICT-bedrijven houvast gaat bieden.
Houvast is één ding, maar je wilt natuurlijk ook aan je klanten en partners laten zien dat jij je gegevensbescherming op orde hebt. Daarom werken we hard aan een onafhankelijke certificering. Ook deze is gebaseerd op de Data Pro Code. Het doel is deze certificering eind van het jaar aan te kunnen bieden. Alles wat je tot nu toe hebt gedaan om Avg-compliant te zijn kun je dan officieel goed laten keuren.
In de tussentijd is er geen reden voor paniek. Veel losse eindjes zullen zich in de praktijk oplossen. Als je al netjes voldeed aan de ‘oude’ Wbp dan zit je in de kern al goed. Voor de rest is het vooral een kwestie van je accountability op orde hebben. Dan zal de AP echt niet onverwacht op de stoep staan met een forse boete.
Het is voor het gemiddelde ICT-bedrijf echt niet ingewikkeld om aan de Avg te voldoen. Ik ben er dan ook van overtuigd dat als het stof is neergedaald, we als sector collectief de lat hoger hebben gelegd en beter dan ooit aan kunnen tonen dat persoonsgegevens bij ons in goede handen zijn.
Het laatste nieuws
Bijna 10.000 nieuwe ICT-talenten opgeleid via CA-ICT
Het belang van innovatief aanbesteden: een stap naar een succesvolle digitale overheid
Rapport: ICT Markttoets Content Services Platform voor BZK
Noodkreet bedrijfsleven en kennisorganisaties: sloop van innovatieklimaat dreigt
