Hoewel de deadline van 25 mei nadert, voldoet 80 tot 90 procent van de Nederlandse en Belgische MKB-bedrijven nog steeds niet aan de strenge regels van privacywet AVG, die dan van kracht worden. Omdat er nog geen officiële certificeringen bestaan voor die wet, heeft auditbureau Brand Compliance zelf een standaard ontwikkeld waarmee bedrijven op een systematische wijze invulling kunnen geven aan de wet.

De Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd, is in 2016 in werking getreden in de EU. Vanaf 25 mei gaan privacywaakhonden als de Nederlandse Autoriteit Persoonsgegevens (AP) streng controleren of bedrijven en organisaties wel aan de wet voldoen. Als dat niet zo is, riskeren ze boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van hun bedrijfsomzet. Bedrijven en organisaties moeten volgens de AVG op een veilige en transparante manier omgaan met de persoonsgegevens van burgers. Ze mogen alleen gegevens verzamelen die ze nodig hebben en alleen als consumenten daar expliciet toestemming voor hebben gegeven.

"We hebben veel MKB-bedrijven uit Nederland en België als klant en uit de gesprekken en overleggen die we de afgelopen maanden hebben gevoerd maak ik op dat 80 tot 90 procent van de bedrijven hier nog niet klaar voor is,” zegt directeur Christian Oudenbroek van Brand Compliance.

Veel dienstverleners vrezen ook klanten te verliezen als ze niet op tijd AVG-proof zijn. Het auditbureau kreeg het afgelopen anderhalf jaar veel vragen van klanten en consultants (die helpen bij implementatie) die op zoek waren naar een officiële AVG-certificering. Daarmee kunnen organisaties zowel intern als extern aantonen dat ze aan hun verantwoordingsplicht van de AVG voldoen. Brand Compliance heeft hierop zelf het voortouw genomen en certificatiestandaard BC 5701:2018 (nl), gebaseerd op de beginselen van de AVG, ontwikkeld.

"De certificatiestandaard is een praktisch en toetsbaar raamwerk met implementeerbare procedures en maatregelen waarmee organisaties zelf aan de slag kunnen om hun bedrijfsvoering in overeenstemming te brengen met de privacyregels. Certificering is relevant voor bedrijven die dienstverlener of leverancier zijn voor grotere overheidsorganisaties, banken of bedrijven op het gebied van IT, HR, e-commerce of datamarketing,” aldus Oudenbroek.