FD Artikel over AVG-compliance met hoofdrol CIOPN vindt landelijk gehoor
FD Artikel over AVG-compliance met hoofdrol CIOPN vindt landelijk gehoor
Met inbreng van CIO Platform Nederland publiceerde het Financieele Dagblad op 5 april j.l. een artikel over de problematiek die zakelijke gebruikers ervaren bij het voldoen aan de AVG. Het artikel is niet onopgemerkt gebleven, maar bevatte ook een aantal onjuistheden. Hieronder zowel een rectificatie als een verwijzing naar de gestelde Kamervragen en andere publicaties in de media.
In het artikel ‘Meerderheid Nederlandse bedrijven voldoet na drie jaar nog niet aan privacywet’ besteedt het FD aandacht aan de problematiek die gebruikers van digitale producten en diensten ondervinden bij het voldoen aan de AVG. Daarbij wordt het gebrek aan evenwicht in aansprakelijkheid en verantwoordelijkheid tussen leveranciers en gebruikers geïntroduceerd. CIO Platform Nederland roept de wetgever dan ook op om ervoor te zorgen dat de softwareleveranciers hun producten en diensten alleen aan de EU-markt mogen leveren als zij zelf de AVG-eisen naleven. Namens CIO Platform Nederland zijn Arthur Govaert (voorzitter) en Ronald Verbeek (directeur) door het FD geïnterviewd.
Rectificatie
CIO Platform Nederland staat achter de algemene strekking van het artikel en is ervan overtuigd dat het belangrijke misstanden weergeeft. Echter, de uiteindelijke versie in het FD was niet geheel in overeenkomst met onze inbreng en visie. Het Financieele Dagblad zag geen ruimte om onze aangevraagde rectificatie te publiceren. Vind daarom hieronder onze reactie:
Reactie CIOPN
CIO Platform Nederland onderschrijft de strekking van het FD-artikel 'Meeste Nederlandse bedrijven voldoen nog niet aan privacywet' van 6 april. De verantwoordelijkheid voor de veiligheid en compliance met EU-wetgeving van software en clouddiensten moet evenwichtiger worden verdeeld tussen gebruiker en leverancier.
Het artikel stelt dat de CIO’s een bekentenis doen, dat is niet het geval. Onderzoek van de Rijksoverheid toont dat veelgebruikte producten/diensten van Microsoft en Google op punten niet AVG-compliant zijn. Onze constatering is dat het is voor gebruikers vrijwel onmogelijk is om aan de AVG te voldoen zolang software en clouddiensten die zij afnemen daaraan niet voldoen.
Verderop wordt gesuggereerd dat handelingen van zorgmedewerkers van Radboudumc zijn gevolgd door Microsoft. Dit is onjuist. Maatregelen zijn getroffen vóórdat de software in gebruik is genomen bij de UMC’s. Dit vergde wel onderhandelmacht van de Rijksoverheid, die de meeste bedrijven niet hebben.
Belangrijkste punten
Het artikel, samen met de rectificatie, brengt volgens CIO Platform Nederland als belangrijkste punten naar voren:
- Wanneer een datalek plaatsvindt door onveilige software dient dat, voor een substantieel groter aandeel dan momenteel gebeurt, de softwareleverancier te worden aangerekend en niet de gebruiker.
- De Europese overheid moet zorgen dat er zekerheid komt dat software die op de Europese markt komt voldoet aan Europese wetten en normen.
- Het gebrek aan verantwoordelijkheid en aansprakelijkheid heeft als gevolg dat, bijvoorbeeld in het geval van de Algemene Verordening Gegevensbescherming, de risico’s voor boetes e.d. voornamelijk bij de gebruikende organisaties liggen en niet bij de leverancier van de software of Clouddienst.
Kamervragen en publicatie in diverse media
In de dagen na de publicatie heeft het artikel de nodige stof doen opwaaien. Zo is het o.a. opgepikt door verschillende media zoals BNR nieuwsradio en NPO Radio 1. Daarnaast heeft kamerlid Kathmann (PvdA) op basis van het stuk een zestal Kamervragen ingediend. Deze vragen zijn grotendeels goed in lijn met de punten die CIO Platform Nederland naar voren brengt, met een belangrijke uitzondering. De aan CIO Platform Nederland en zijn directeur toegedichte mening, namelijk ‘dat niet de gebruiker van software, maar de ontwikkelaar verantwoordelijk moet zijn voor het implementeren van AVG-eisen’ is niet onze mening. Zoals hiervoor al is aangegeven zijn we van mening dat de verantwoordelijkheid eerlijker moet worden verdeeld, waarbij als het gebrek ligt bij de software, de maker daarvan verantwoordelijk moet worden gehouden en niet de gebruiker.
Tot slot zullen wij de komende tijd een goed vervolg proberen te geven aan de aandacht van het artikel. Onze gezamenlijke boodschap over het voldoen aan de AVG en de ongelijkheid op de software- en Cloudmarkt zullen wij blijven uitdragen.
Lees ook het follow up artikel over GDPR compliance uitdagingen dat 18 april in het FD is verschenen. De Europese Data Protection Toezichthouder onderzoekt contracten met Microsoft over mogelijke opslag van persoonsgegevens van de Europese Commissie staf in de V.S.
Voor vragen en/of opmerkingen, stuur een bericht naar info@cio-platform.nl