appwatching-onderzoek-avg-ready.png

Onderzoek: Welke softwareleveranciers zijn AVG Ready?

Het is bijna zover: de huidige Wet bescherming persoonsgegevens (Wbp) wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG), een Europese wetgeving die consument een betere privacybescherming moet geven. De consument krijgt er met de nieuwe wet rechten bij met als gevolg dat de eindverantwoordelijke (in dit geval jij als ondernemer) moet voldoen aan meer plichten. 

Verwerkers 

Ook derde partijen die inzage hebben in persoonsgegevens, in de AVG verwerkers genoemd, moeten met de komst van de AVG aan strengere eisen voldoen. Verwerkers kunnen onder de nieuwe privacywet vanaf nu ook beboet worden door privacywaakhond Autoriteit Persoonsgegevens (AP). En waar voorheen de verantwoordelijke de plicht had een bewerkersovereenkomst af te sluiten, is het onder de AVG een gedeelde verantwoordelijkheid tussen de verantwoordelijke en de verwerker.

Lees alles over de AVG in deze blog: Wat is de AVG?

Slechte voorbereiding

Uit onderzoek dat KPMG vorig jaar deed bleek dat veel ondernemers nog niet goed zijn voorbereid op de AVG. Een slechte voorbereiding op de AVG “kan de ondernemer geld gaan kosten” was één van de conclusies. Maar niet alleen de ondernemers zijn niet op goed op de hoogte, ook consumenten weten niet precies wat de nieuwe privacywetgeving inhoudt, bleek uit onderzoek van hetzelfde KPMG in februari. Nog geen twintig procent van de consumenten weet precies wat de AVG is. 

Ook SaaS-softwareleveranciers (in de AVG verwerkers genoemd) moeten ‘compliant’ zijn. Zij verzamelen namelijk grote hoeveelheid data van hun klanten. In sommige gevallen gaat het om gevoelige data. Ze verzamelen immers onder andere bedrijfsgevoelige, financiële gegevens.

Borst natmaken

KPMG kwam tot nog een interessante conclusie: tachtig procent van de Nederlanders gaat gebruikmaken van hun recht op inzage, wat betekent dat bedrijven de verzamelde gegevens van hun klanten op orde moeten hebben. “Bedrijven en instanties kunnen hun borst natmaken”, waarschuwde Koos Wolters, privacy-expert van KPMG. Uiteraard is KPMG partij in deze kwestie: zij zijn immers degene die bedrijven tegen betaling helpen om zich wél goed voor te bereiden op de AVG. 

Puntjes op de i

De Autoriteit Persoonsgegevens (AP), de partij die verantwoordelijk is voor handhaving van de nieuwe wetgeving, maakt zich dan ook een stuk minder zorgen dan KPMG. De AP verwacht geen grote problemen wanneer de AVG ingaat. "Als je nu al redelijk je data op orde hebt en je werkt in lijn met de huidige wet- en regelgeving, dan is het eigenlijk alleen nog maar de puntjes op de i zetten", stelde AP-voorzitter Aleid Wolfsen.

Privacy wint aan belang

Maar dat consumenten zich meer bewust van zijn dat hun privacy kan worden geschonden, komt wel naar naar voren in het recente Facebook-schandaal. Privacy heeft aan prioriteit gewonnen, blijkt ook wel uit de ‘nee’ in het referendum over de zogenoemde ‘sleepwet’.

Waarom dit onderzoek?

Kijkende naar de verschillende onderzoeken die al zijn gedaan naar de vraag of ondernemers (de verantwoordelijken) al klaar zijn voor de AVG, wil Appwatching met dit onderzoek achterhalen in hoeverre softwareleveranciers (verwerkers) klaar zijn voor de nieuwe privacywet. Zij hebben immers een (bijna) net zo grote verantwoordelijkheid voor de bescherming van persoonlijke data als de verantwoordelijken. 

Opzet

Om dit inzicht te krijgen, heeft Appwatching het AVG-beleid van softwareleveranciers onderzocht. Sommige van de leveranciers hebben een uitgebreide en duidelijke privacyverklaring online staan, waar al veel antwoorden op onze vragen uit te halen zijn. Met de leveranciers die geen verklaring op hun website hebben staan, hebben we telefonisch of e-mailcontact gehad. We stelden de leveranciers de volgende vragen. 

  • Hebben jullie een gegevensregister?
  • Verwijderen jullie data die niet meer worden gebruikt?
  • Weten alle klanten welke gegevens jullie gebruiken?
  • Weten alle klanten waarom jullie hun gegevens gebruiken?
  • Is het duidelijk waar jullie de gegevens opslaan?
  • Zijn de gegevens die jullie bewaren versleuteld?
  • Testen jullie je eigen beveiliging? (bijvoorbeeld d.m.v. een PIA)
  • Kunnen jullie binnen dertig dagen jullie klanten hun gegevens laten inzien of laten verwijderen?
  • Voldoen jullie aan de bewaarplicht van alle gegevens?
  • Als jullie een nieuwe subverwerker inschakelen, melden jullie dat dan ook aan de verantwoordelijke? (jullie klant)
  • Voldoet deze subverwerker aan dezelfde verplichtingen als jullie ten opzichte van de verantwoordelijke?
  • Hebben jullie klanten auditrechten zodat ze jullie kunnen controleren of jullie de afspraken nakomen?
  • Melden jullie een datalek binnen een redelijke tijd, zodat de verantwoordelijke het lek binnen 72 uur kan melden bij de AP?

Wanneer de aanbieders op al deze vragen ‘ja’ antwoorden voldoen ze in grote lijnen aan de AVG en krijgen ze van Appwatching de stempel ‘AVG Ready’. Want ook AVG-expert Rob Platteel van Pprotectum benadrukt dat “je nooit honderd procent kunt garanderen dat je alle gegevens goed kunt beveiligen”.

Resultaten

Appwatching heeft 42 Nederlandse softwareleveranciers benaderd met deze vragen. In totaal kregen twaalf van deze de stempel ‘AVG Ready’. In alfabetische volgorde:

Te druk 

Een aantal leveranciers gaf aan te druk te zijn om onze vragen te beantwoorden, juist omdat ze bezig zijn met de voorbereidingen van de AVG. Weer andere leveranciers antwoorden helemaal niet op onze e-mails of gaven aan aan niet mee te willen doen aan ons onderzoek. Dit kan een indicatie zijn dat ze nog niet AVG Ready zijn, maar daar zal verder onderzoek naar moeten worden gedaan.  

Ook Perifact gaf antwoord op de vragen van Appwatching, maar valt als één van de weinige softwareleveranciers buiten de nieuwe wetgeving. De factuur softwareleverancier is namelijk een eenmanszaak en verzamelt geen gegevens van klanten. Het enige wat Perifact van zijn klanten verzamelt, is een e-mailadres. Bovendien is het klantenbestand niet ‘groot’ te noemen en de hoeveelheid verzamelde gegevens dus ook niet.   

Verantwoording

Ik heb mijn vragen opgesteld op basis van de nieuwe eisen die de AVG stelt aan bedrijven. Ook heb ik advies ingewonnen van ICTRecht, een autoriteit op het gebied van cybersecurity en dan met name op het juridische vlak. De vragen zijn minimale eisen waaraan een bedrijf moet voldoen om AVG Ready te zijn. Want zoals gezegd is het haast onmogelijk om je honderd procent te kunnen verantwoorden en beveiligen. 

Wanneer de bedrijven ‘ja’ als antwoord geven, hebben zij in ieder geval aangetoond dat zij er genoeg aan hebben gedaan om de veiligheid en privacy van klantgegevens te kunnen borgen. De lijst is overigens niet definitief. Later dit jaar volgt nog een onderzoek. Leveranciers die dan kunnen aantonen dat ze AVG Ready zijn, worden alsnog aan de lijst toegevoegd.

Niet AVG Ready

Zoals gezegd zijn er veel bedrijven in Nederland die worstelen met de voorbereiding van de AVG. Ook sommige softwareleveranciers hebben het moeilijk. Dit wil niet zeggen dat data van klanten op straat liggen. Softwareleveranciers voldoen al aan de ‘oude’ Wet bescherming persoonsgegevens (Wbp), de wet die wordt vervangen door de AVG. Bovendien is er nog veel onduidelijk over de AVG. Dat zorgt voor verwarring bij organisaties.

De Autoriteit Persoonsgegevens (AP), geeft zelf ook toe dat de de AVG nog niet in beton gegoten is. Sommige wetswijzigingen zijn nog in ontwikkeling en de diepgang ervan staat nog ter discussie. Organisaties weten dus niet eens precies waaraan ze moeten voldoen, laat staan dat ze 25 mei klaar zijn voor de AVG. 

Onhaalbaar

Uit onderzoek van Norea blijkt dit ook: twee derde van de ondervraagde organisaties geven aan dat voldoen aan de AVG voor 25 mei onhaalbaar is, vanwege deze onduidelijkheid. "Het is voor deze organisaties dan ook ondoenlijk om aan alle eisen te voldoen", licht Jan de Heer van Norea toe.

Minister Dekker ziet ook in dat de intrede van de AVG voor problemen zorgt en zal niet meteen keihard optreden. Dit geeft ook aan dat de AVG nog niet de nieuwe standaard is wat betreft databeveiliging. Toch moeten organisaties, waaronder softwareleveranciers, die nog niet AVG Ready zijn wel degelijk aan de gang. En dan met name de grote organisaties. “Als grote bedrijven er met de pet naar gooien en jouw of mijn gegevens op straat liggen, dan heb je echt een probleem", waarschuwt Dekker.  

Lees ook:

Steven Houkes - Webredacteur
Geschreven door:
Steven Houkes
Webredacteur

Steven is als hoofdredacteur van Appwatching degene die de content van de websites creëert en kwaliteit ervan waarborgt. Hij maakt je in zijn nieuwsartikelen, blogs en onderzoeken wegwijs in de materie van cloudsoftware. Hij heeft veel ervaring opgedaan als webredacteur bij RTV Noord en past deze journalistieke kennis toe bij het schrijven van zijn blogs. In zijn vrije tijd doet hij aan voetbal, wielrennen (alleen bij mooi weer) en koken. Heb je vragen? Mail gerust naar steven@appwiki.nl.

Verder lezen


appwatching-chat

Mijnwebwinkel koppelt met LiveChat Service

Klanten van Mijnwebwinkel kunnen vanaf vrijdag een livechat aanbieden in hun webwinkel.

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Appwatching 13.jpg

Digitalisering MKB groeit licht

Bij bedrijven in Nederland steeg de digitalisering licht van 54 naar 56 procent. De digitalisering bij...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
appwatching-ideal.png

Informer geeft de mogelijkheid BTW-aangifte met iDeal te betalen

Boekhoudsoftware-aanbieder Informer maakt het voor klanten mogelijk om de tweede BTW-aangifte van 2018...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Products