Business

Overheid en bedrijfsleven nog lang niet klaar voor privacywet AVG

Michaël Niewold en Pepijn Nagtzaam • 25 mei 2018 06:12

Zelfs de bakker op de hoek moet voldoen. Beeld © ANP

Overheidsinstellingen zoals de Belastingdienst en de SVB en talloze mkb-bedrijven hebben nog best wat werk te verzetten voor ze helemaal voldoen aan de AVG. Dat blijkt uit een inventarisatie van RTL Z. En ook de meeste ministeries zijn er nog niet klaar voor.

We vroegen alle ministeries of ze klaar waren met de invoering van de AVG-wetgeving. Van de ministeries die reageerden, had alleen het minsterie van OCW de zaakjes op orde.

Midden- en kleinbedrijf

Ook het midden- en kleinbedrijf worstelt met de invoering van de nieuwe privacywetgeving. Voor sommige bedrijven betekent de nieuwe wetgeving veel werk. Vanaf 25 mei moeten bedrijven vaker toestemming vragen als ze data van consumenten opslaan, en meer delen over wat ze met die gegevens doen.

Overheidsorganisaties en grotere verwerkingsbedrijven moeten zelfs een functionaris gegevensbescherming (ook wel data protection officer genoemd) in dienst nemen.

Bijna 5000 data protection officers

Op 3 mei waren er 1800 FG's aangemeld bij de Autoriteit Persoonsgegevens, inmiddels zijn dat er ruim 4700. Hoeveel het er uiteindelijk moeten worden, dat weet de AP ook niet precies. Vanaf 25 mei gaat de AP 'toezien op naleving van de wetgeving'. Of er ook meteen boetes uitgedeeld zullen worden, dat is nog niet duidelijk.

"We gaan steeds kijken welk middel het meeste effect heeft om een privacyschending te stoppen. Soms is dat een brief of telefoontje, soms is een sanctie in de vorm van een boete op zijn plaats", zegt een woordvoerder.

"We nemen - zoals verplicht - alle klachten in behandeling. Maar we zijn een redelijke toezichthouder, dus de bakker op de hoek heeft niet onze eerste prioriteit, tenzij er een klacht binnenkomt." Zelf geeft de AP aan 'vanzelfsprekend' volledig aan de wet te voldoen. 

Mogelijk helft bedrijfsleven nog niet klaar

Begin mei bleek uit een enquête van de MKB Servicedesk dat slechts 30 procent van de ondervraagde bedrijven er klaar voor was. Omdat 25 procent toen aangaf er al wel mee bezig te zijn, schat een woordvoerder van MKB Nederland dat ruim de helft van het mkb er inmiddels wel klaar voor is. Maar ook een groot gedeelte dus nog niet.

"Dat is geen kwestie van kwade wil, maar ze weten gewoon niet precies wat ze moeten of nog mogen", legt de woordvoerder uit. De brancheorganisatie is daarom nog in gesprek met de overheid en gaat ervan uit dat er niet al te streng gehandhaafd zal worden. "Wij hopen dat ondernemers die ermee bezig zijn, maar een klein puntje vergeten, niet meteen beboet worden", vertelt ze.

Niet duidelijk wanneer fiscus aan de regels voldoet

Niet alleen in het bedrijfsleven en bij de rijksoverheid wordt de deadline om AVG-proof te zijn niet gehaald. De Belastingdienst bijvoorbeeld, beheerder van een van de grootste collecties van gegevens van Nederlanders, is er ook niet klaar voor.

Wanneer de fiscus wel aan de AVG voldoet, wil een woordvoerder niet zeggen omdat er Kamervragen over hetzelfde onderwerp gesteld zijn door Pieter Omtzigt en dan 'is het gebruik om eerst het parlementaire proces af te wachten', aldus de woordvoerder.

Ook bij andere overheidsinstanties, zoals de Sociale Verzekeringsbank, is men nog bezig. De SVB regelt de uitbetaling van onder andere het AOW-pensioen, kinderbijslag en PGB's. Een woordvoerder zegt weliswaar 'klaar te zijn voor de AVG', maar men legt ook uit dat de instantie nog druk is met de bewaartermijnen zoals ze in de AVG zijn opgenomen.

Oplossing in 2019

"Dat zorgt soms voor complexiteit. Volgens de wet moeten we na vijf jaar gegevens verwijderen", zegt de woordvoerder. "Maar als ouders bijvoorbeeld gescheiden zijn, kan dat lastig zijn, want dan moeten we dus op enig moment een dossier leegmaken en dan wordt het ingewikkeld." Ze moeten dus informatie houden, maar ook verwijderen.

De SVB verwacht dat de oplossing daarvoor begin 2019 gevonden wordt. Ook het anonimiseren van productiedata is nog een punt waaraan gewerkt wordt. "De Autoriteit Persoonsgegevens is daar ook van op de hoogte, we doen dat allemaal in goed overleg. De rechten van burgers zoals ze in de AVG staan, daar voldoen we morgen aan", zegt een SVB-woordvoerder.

Ze benadrukt dat de SVB al jarenlang de gegevens van 17 miljoen Nederlands op een verantwoordelijke manier gebruikt en dat daar geen zorgen over hoeven te zijn. 

Verwerkingsovereenkomsten nog niet af, verder klaar

Bij de Rijksdienst voor Wegverkeer (RDW), verantwoordelijk voor onder meer toezicht en registratie van voertuigen, gaat het nog om de welbekende laatste puntjes op de i. De dienst heeft de implementatie uitgevoerd, laat een woordvoerder weten. Het enige waar het nog aan schort is dat een aantal leveranciers van de RDW nog goedkeuring moet geven aan de verwerkersovereenkomst.

DUO (verantwoordelijk voor studiefinanciering) en uitkeringsinstantie UWV voldoen wel stipt op 25 mei aan de wet. Beide organisaties hadden al langer een Functionaris Gegevensbescherming, zoals verplicht wordt volgens de wet.

"We zien dit echt als een aanscherping van de oude wet", laat DUO weten. "Dus we hadden vrijwel alle protocollen al. Dit is wel een mooi moment om er nog eens goed doorheen te lopen en te kijken of alles in orde is. Daar zijn we al sinds begin 2017 mee bezig."

Bron • RTL Z