Op 25 mei a.s. wordt de Algemene Verordening Gegevensbescherming (AVG) ook wel aangeduid met de Engels term General Data Protection Regulation (GDPR), van kracht. Met de AVG gaat de Europese Commissie de persoonsgegevens van individuen binnen de Europese Unie strenger beschermen.
Vanaf dat moment moet iedere organisatie passende maatregelen hebben doorgevoerd voor het omgaan met data lekken, eDiscovery, M&A-data rooms en andere data verzamelingen die veel persoonlijke gegevens bevatten.
Hoewel veel consultants anders doen geloven, is er geen pasklaar wondermiddel om alle vereisten van de AVG af te dekken. De nieuwe wetgeving is veel te breed en omvat te veel aspecten van gegevensbescherming, privacy en security.
Iedereen heeft straks het recht tot inzage in zijn of haar persoonlijke informatie en iedereen kan zich straks beroepen op "het recht om te worden vergeten". Dat betekent dat u in staat moet zijn te allen tijde specifieke persoonsgegevens te traceren en te verwijderen. En dat moet u ook nog eens kunnen bewijzen aan de aanvrager en een eventuele toezichthouder.
Bedrijven moeten voldoen aan zeer strenge cyberbeveiligingseisen, verplichte encryptie en eventuele datalekken direct melden. Voor iedere corporate transactie gelden strakke regels voor het verwerken, opslaan en doorgeven van persoonlijke gegevens. En ieder bedrijf is verplicht om altijd vooraf expliciete toestemming te vragen voor het opslaan van bepaalde persoonlijke informatie en dit bewijsbaar vast te leggen.
Daarnaast zijn er nog steeds veel vragen over de praktische implicaties van verschillende onderdelen van de wetgeving. Er is dus geen pasklare oplossing die u kunt omarmen. Maar er is wel heel veel wat u al kunt doen om op zijn minst de meest dringende zaken aan te pakken. Als u op 25 mei de volgende vragen bevestigend kunt beantwoorden, bent u al een heel eind.