De AVG in de praktijk
De AVG is nu een jaar oud. Organisaties hebben inmiddels ervaring met de implicaties die de AVG heeft op de bedrijfsvoering. Rendement is benieuwd hoe u dat ervaren heeft en gaf onderzoeksbureau Motivaction de opdracht om hier onderzoek naar te doen. Hieruit blijkt onder meer dat de invoering meer tijd in beslag nam dan verwacht. Ook noemt de helft van de ondervraagden de AVG een draak van een wet. Hieronder volgt een eerste overzicht van een jaar werken met de AVG.
Een jaar na invoering van de AVG blijkt dat organisaties hun handen vol hadden aan de implicaties. Zo moesten zij tijd en geld investeren om aan de AVG te kunnen voldoen. Vooral het opstellen van verwerkersovereenkomsten (51%), het aanstellen en scholen van de functionaris voor de gegevensbescherming (FG) en het volgen van cursussen (beide 35%) hebben tijd en geld gekost.
Ruim een kwart van de ondervraagden geeft aan dat de organisatie € 2.000 of minder heeft uitgegeven aan de invoering van de AVG. Bij een derde van de organisaties met minder dan vijftig werknemers liggen de kosten lager dan € 1.000. Bij grote organisaties met meer dan vijfhonderd werknemers lopen de kosten op tot € 20.000.
Kennisniveau
Een ander deel van het onderzoek richtte zich op de kennis over de AVG. Minder dan twee derde (62%) van de professionals weet wat hij moet doen als zich een AVG-gerelateerde kwestie voordoet. Het is bijzonder dat de kennis over wat volgens de AVG valt onder de noemer persoonsgegevens beperkt is. Ook blijkt dat niet voor iedereen duidelijk is wanneer datalekken gemeld moeten worden. De kennis bij de FG is, zoals te verwachten, hoger dan onder professionals in het algemeen, maar het kennisniveau onder deze groep mag nog wel worden vergroot. Desondanks zien de ondervraagden een eventuele controle op naleving van de AVG wel met vertrouwen tegemoet.
Draak
Bij de helft van de ondervraagden valt de AVG niet in de smaak. Iets meer dan de helft van de professionals ziet geen grote voordelen in de invoering van de AVG. 50% noemt de AVG zelfs ‘een draak van een wet’. Wel wordt het bewuster omgaan met en het beschermen van persoonsgegevens en privacy genoemd als positief effect. Maar de AVG kost vooral veel tijd. Professionals met een HR-functie geven zelfs aan dat ze belemmeringen zien in hun werk door de invoering van de AVG: 34% geeft aan dat de privacyregels rondom ziekte voor hen niet goed werkbaar zijn. Zij lopen bijvoorbeeld tegen problemen aan omdat gegevens over ziekte van werknemers niet zomaar mogen worden opgeslagen.
Datalek
Bijna een derde van de ondervraagde FG’s (34%) geeft aan dat er nog geen zaak in behandeling is genomen rondom de AVG. De zaken die wel in behandeling zijn genomen, hebben vaak te maken met het beoordelen en melden van datalekken, het beantwoorden van vragen en het geven van advies over het verwerken en opslaan van persoonsgegevens. Ook werd de vraag gesteld in hoeverre ondernemingsraden betrokken zijn geweest bij de implementatie van de AVG. Respondenten van organisaties met een ondernemingsraad geven aan te denken dat die instemmingsrecht heeft bij het opstellen of wijzigen van de regelingen rond de verwerking en bescherming van persoonsgegevens van werknemers. Een iets groter gedeelte denkt dat de OR daarop adviesrecht heeft.
Bron: Rendement, 17.05.2019