We zijn in een soort van tweede AVG-golf aanbeland. Dat wil zeggen dat bedrijven die vorig jaar mei dat laagje aan ‘borging’ hebben aangebracht en braaf aan de eerste verplichtingen hebben voldaan nu, na eerst de kat uit de boom te hebben gekeken, realiseren dat er echt wat moet gebeuren.

Aanzet is gemaakt

Op basis van de GDPR hebben tal van bedrijven acties ondernomen. Enerzijds omdat deze simpelweg ‘keihard’ verplicht zijn vanuit de wetgeving, anderzijds omdat het gewoon een goed idee was in verband met contracten met klanten. Zo zie je dat veel bedrijven rond 25 mei vorig jaar een eerste aanzet gemaakt hebben tot het opstellen van een register van verwerkingsactiviteiten, het publiceren van een privacyverklaring en het vaststellen van verwerkersovereenkomsten met klanten en leveranciers.

De constatering is dat veel bedrijven met betrekking tot de GDPR in elk geval niet níks hebben gedaan en wel degelijk een bepaald niveau hebben aangetikt.

Waar het dan nog weleens aan schort, is dat bedrijven bij het opstellen van een privacyverklaring uit zijn gegaan van een standaardmodel, waardoor niet alle details die voor de organisatie relevant zijn in die verklaring benoemd zijn. Dat je jezelf als bedrijf niet aan heel specifieke details committeert, zal de gemiddelde jurist niet erg vinden, maar het maakt de volgende stap die je vanuit de wet moet doen wel lastiger.

Lees verder op computable.nl