Sinds 25 mei vorig jaar is de General Data Protection Regulation (GDPR)/Algemene Verordening Gegevensbescherming (AVG) van kracht. Veel bedrijven hebben rond die periode aan window dressing gedaan en netjes een reeks verplichte documenten opgesteld. Maar de wet vereist ook organisatorische en technische aanpassingen.
12 februari 2019 • Nieuws
Tweede AVG-golf is hier en vraagt om actie
We zijn in een soort van tweede AVG-golf aanbeland. Dat wil zeggen dat bedrijven die vorig jaar mei dat laagje aan ‘borging’ hebben aangebracht en braaf aan de eerste verplichtingen hebben voldaan nu, na eerst de kat uit de boom te hebben gekeken, realiseren dat er echt wat moet gebeuren.
Aanzet is gemaakt
Op basis van de GDPR hebben tal van bedrijven acties ondernomen. Enerzijds omdat deze simpelweg ‘keihard’ verplicht zijn vanuit de wetgeving, anderzijds omdat het gewoon een goed idee was in verband met contracten met klanten. Zo zie je dat veel bedrijven rond 25 mei vorig jaar een eerste aanzet gemaakt hebben tot het opstellen van een register van verwerkingsactiviteiten, het publiceren van een privacyverklaring en het vaststellen van verwerkersovereenkomsten met klanten en leveranciers.
De constatering is dat veel bedrijven met betrekking tot de GDPR in elk geval niet níks hebben gedaan en wel degelijk een bepaald niveau hebben aangetikt.
Waar het dan nog weleens aan schort, is dat bedrijven bij het opstellen van een privacyverklaring uit zijn gegaan van een standaardmodel, waardoor niet alle details die voor de organisatie relevant zijn in die verklaring benoemd zijn. Dat je jezelf als bedrijf niet aan heel specifieke details committeert, zal de gemiddelde jurist niet erg vinden, maar het maakt de volgende stap die je vanuit de wet moet doen wel lastiger.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
