AVG Ready Or Not?

 
 

De Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) treedt vanaf 25 mei 2018 in werking. De impact van deze Europese privacywet op het bedrijfsleven is al veel besproken, maar wat betekent dit nu precies voor marketeers en hun organisaties?

In deze blogserie duiken wij als legal counsels van brancheorganisatie DDMA de diepte in en proberen we onduidelijkheden weg te nemen. In dit eerste deel laten we op basis van eigen onderzoek zien wat de huidige stand van zaken is onder marketeers. Daaruit blijkt dat slechts 36 procent van de organisaties op schema ligt.

 

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

De Algemene Verordening Gegevensbescherming vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp) en zorgt ervoor dat in elke EU-lidstaat dezelfde regels op het gebied van privacy- en databescherming gelden. Als je de Wbp nu perfect hebt geïmplementeerd, zijn de veranderingen niet groot. Maar voor veel bedrijven is dat nog niet het geval en zij hebben dan ook veel voorbereidend werk te doen, zowel op technisch als juridisch vlak. De IT-infrastructuur moet vaak onder de loep worden genomen en beleid moet worden aangepast.

Bedrijven die vanaf 25 mei niet voldoen aan de nieuwe regelgeving, lopen het risico op boetes tot 20 miljoen euro of 4 procent van hun wereldwijde omzet. De noodzaak om tijdig klaar te zijn, mag met dergelijke financiële consequenties duidelijk zijn. Maar de vraag is: hoe goed is het Nederlandse bedrijfsleven nu daadwerkelijk voorbereid op de AVG? Brancheorganisatie DDMA vroeg het aan 75 organisaties uit de marketingsector.

Niet goed voorbereid

De resultaten laten weinig te raden over: de meeste Nederlandse bedrijven voldoen nog lang niet aan de AVG. Slechts 36 procent van de ondervraagde marketeers geeft aan dat zijn of haar organisatie op schema ligt met de voorbereidingen. Iets minder dan de helft van de bedrijven maakt plannen en de rest heeft nog helemaal geen voorbereidingen getroffen.

41 procent van de respondenten geeft daarbij aan zelf goed op de hoogte te zijn van de nieuwe regels, 53 procent is gemiddeld geïnformeerd en 5 procent helemaal niet. Een gebrek aan capaciteit (33 procent), tijd (25 procent) en kennis (10 procent) worden als belangrijkste oorzaken genoemd. Voor 15 procent heeft de AVG-voorbereiding geen prioriteit.

Om een beter beeld te krijgen van de precieze stand van zaken hebben we de respondenten ook gevraagd naar de voorbereiding op specifieke onderdelen van de AVG. Aan de antwoorden is duidelijk te zien dat de meldplicht datalekken al sinds begin vorig jaar in Nederland van kracht is. 63 procent heeft daar inmiddels een protocol voor en 21 procent zegt dat deze dit jaar nog komt. De privacyverklaring is bij 36 procent van de ondervraagden bijgewerkt en 47 procent volgt later dit jaar. Het privacybeleid zal bij de helft van de organisaties dit jaar nog herzien worden en 23 procent heeft dat al gedaan.

Ook de administratieplicht, het uitvoeren van een privacy impact assessment, het implementeren van privacy by design, het aanstellen van een data protection officer, het beoordelen van third-party data en het uitvoeren van een medewerkersprogramma om het privacybewustzijn te vergroten staan wel op de radar, maar verdienen nog veel aandacht in de voorbereiding.

Prioriteit en zorgen

De onderwerpen die voor respondenten de hoogste prioriteit hebben om vóór 25 mei 2018 op orde te krijgen, zijn achtereenvolgens het privacy impact assessment, het privacybeleid, de administratieplicht, het medewerkersprogramma en privacy by design. Marketeers maken zich het meeste zorgen over hoe zij moeten omgaan met gegevens uit oude systemen (legacy data), hoe zij toestemming aan gebruikers moeten vragen om gegevens te gebruiken en hoe ze medewerkers het best kunnen trainen. Voor de meeste ondervraagden heeft het trainen van het bestaande team wel duidelijk de voorkeur boven het uitbesteden aan of het in dienst nemen van een specialist.

Belang van de AVG

De onderzoekscijfers maken duidelijk dat er nog veel werk aan de winkel is voor organisaties om tijdig te voldoen aan de AVG. Positief is daarbij wel dat het grootste deel van de ondervraagden het belang inziet van de nieuwe regels, zeker voor consumenten.

Bijna de helft vindt dat de voordelen voor de consumenten zwaarder wegen dan de kosten voor het bedrijfsleven.

Tegelijkertijd verwachten de meeste organisaties zelf ook baat te hebben bij de wet. Tweederde is het niet eens met de stelling dat de AVG alleen voor consumenten voordelig is. De helft ziet de wet ook niet als belemmering voor marketingactiviteiten, eenderde is daar wel bang voor.

Het is van belang om in marketing het vertrouwen van de consument te behouden, en daarmee het recht op privacy te erkennen. De Algemene Verordening Gegevensbescherming vergroot dat bewustzijn bij marketeers. Ook positief is dat de meeste bedrijven lijken te begrijpen wat hun prioriteiten en aandachtspunten zijn.

Het is echter al oktober en over acht maanden zullen de Europese toezichthouders zich op de nieuwe regelgeving storten. Organisaties die een hoge boete willen vermijden, hebben nog veel werk te verzetten de komende tijd. Deze blogserie helpt daar hopelijk een handje bij.

In deel 2 van deze blogserie, dat volgende week verschijnt, beantwoorden we de meest gestelde vragen van marketeers over de AVG.

Bekijk hier het hele AVG-onderzoeksrapport van DDMA, "AVG ready or not?" (pdf)