Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland. Bedrijven lopen elkaar in de weg, overheidsinstanties vertrouwen elkaars beveiligingsbeleid niet en weigeren gegevens te leveren als er niet eerst een ‘data-overeenkomst’ is getekend (wat dat ook precies moge zijn), kerkblaadjes die met bloed, zweet en tranen door vrijwilligers in elkaar worden gedraaid besluiten ermee te stoppen en sportverenigingen weten niet of zij nog de foto’s van de sportdag op hun website mogen zetten. Hotels en bloemisten, zelf verwerkingsverantwoordelijken, krijgen van hun klanten verwerkersovereenkomsten in de maag gesplitst omdat medewerkers van die klanten een nachtje komen slapen of omdat ze als vaste leverancier boeketten mogen gaan leveren aan jubilerende of jarige medewerkers van hun klant. En alles wordt opeens als datalek aangemerkt. Het is duidelijk: de AVG heeft voor velen nog steeds een hoog klok-en-klepel gehalte. Maar het rare is, de meeste regels over wat wel en niet mag met persoonsgegevens zijn in vergelijking met de oude Wet bescherming persoonsgegevens vrijwel niet veranderd. Met andere woorden, als het nu niet compliant is, was het dat vroeger ook niet. Ik wil niet zeggen dat iedereen vroeger netjes de wet naleefde; dat zeker niet. Maar de stemming lijkt in Nederland nu opeens helemaal omgeslagen. Van privacy-apathie naar privacy-on-steroids. Letterlijk alles wordt nu in twijfel getrokken. Bang als iedereen is voor de -voorlopig nog steeds niet opgelegde- boetes van de AP. Alsof de AP de hele dag met boetes gaat lopen strooien. Dat namelijk ook weer niet. Overtredingen moeten eerst onderzocht worden alvorens er een boete wordt opgelegd. En dat kost tijd en mankracht. Met de beperkte bezetting (ongeachte de omvang van de AP, is de capaciteit van de AP in onze informatiemaatschappij altijd te weinig), kan de AP maar een beperkt aantal onderzoeken per jaar uitvoeren en dus ook maar een beperkt aantal boetes opleggen. Voor de AVG geen flitspalen die aan de lopende band overtredingen constateren waarna met boetes worden gestrooid.

Ondertussen maken criminelen dankbaar gebruik van deze paniek. Vorige week waarschuwde de AP voor een oplichter die namens de AP naar bedrijven belt en moet boetes dreigt. Voor 1000 euro ben je er vanaf. En eerder werd er al een bedrijf ontdekt dat Belgische ondernemers wees op hun (vermeende) overtreding. Voor 195 euro konden ze binnen 7 dagen een keurmerk kopen. En anders zouden ze worden aangegeven bij de toezichthouder. De website van dit bedrijf is inmiddels uit de lucht.

Het zal nog wel even duren voordat de rust is weergekeerd en het nieuwe AVG-evenwicht is gevonden. Ondertussen blijft PMP organisaties trainen op de AVG en helpen wij hen met een gezonde bewustwording bij hun medewerkers. De AVG is niet voor niets gebaseerd op een ‘risk-based’ approach. “Doen wat nodig is, maar niet op alle slakken zout leggen” is het devies van de AVG. Velen moeten die boodschap nog krijgen. Tot die tijd is het oppassen geblazen voor verkeerde interpretaties van de AVG. En kennelijk ook voor AVG-scammers!

Bron: Nieuwsbrief PMP