FD Artikel over AVG-compliance met hoofdrol CIOPN vindt landelijk gehoor
FD Artikel over AVG-compliance met hoofdrol CIOPN vindt landelijk gehoor
12-04-2021 17:21 Met inbreng van CIO Platform Nederland publiceerde het Financieele Dagblad op 5 april j.l. een artikel over de problematiek die zakelijke gebruikers ervaren bij het voldoen aan de AVG. Het artikel is niet onopgemerkt gebleven, maar bevatte ook een aantal onjuistheden. Hieronder zowel een rectificatie als een verwijzing naar de gestelde Kamervragen en andere publicaties in de media.
In het artikel ‘Meerderheid Nederlandse bedrijven voldoet na drie jaar nog niet aan privacywet’ besteedt het FD aandacht aan de problematiek die gebruikers van digitale producten en diensten ondervinden bij het voldoen aan de AVG. Daarbij wordt het gebrek aan evenwicht in aansprakelijkheid en verantwoordelijkheid tussen leveranciers en gebruikers geïntroduceerd. CIO Platform Nederland roept de wetgever dan ook op om ervoor te zorgen dat de softwareleveranciers hun producten en diensten alleen aan de EU-markt mogen leveren als zij zelf de AVG-eisen naleven. Namens CIO Platform Nederland zijn Arthur Govaert (voorzitter) en Ronald Verbeek (directeur) door het FD geïnterviewd.
Rectificatie
CIO Platform Nederland staat achter de algemene strekking van het artikel en is ervan overtuigd dat het belangrijke misstanden weergeeft. Echter, de uiteindelijke versie in het FD was niet geheel in overeenkomst met onze inbreng en visie. Het Financieele Dagblad zag geen ruimte om onze aangevraagde rectificatie te publiceren. Vind daarom hieronder onze reactie:
Reactie CIOPN
CIO Platform Nederland onderschrijft de strekking van het FD-artikel 'Meeste Nederlandse bedrijven voldoen nog niet aan privacywet' van 6 april. De verantwoordelijkheid voor de veiligheid en compliance met EU-wetgeving van software en clouddiensten moet evenwichtiger worden verdeeld tussen gebruiker en leverancier.
Het artikel stelt dat de CIO’s een bekentenis doen, dat is niet het geval. Onderzoek van de Rijksoverheid toont dat veelgebruikte producten/diensten van Microsoft en Google op punten niet AVG-compliant zijn. Onze constatering is dat het is voor gebruikers vrijwel onmogelijk is om aan de AVG te voldoen zolang software en clouddiensten die zij afnemen daaraan niet voldoen.
Verderop wordt gesuggereerd dat handelingen van zorgmedewerkers van Radboudumc zijn gevolgd door Microsoft. Dit is onjuist. Maatregelen zijn getroffen vóórdat de software in gebruik is genomen bij de UMC’s. Dit vergde wel onderhandelmacht van de Rijksoverheid, die de meeste bedrijven niet hebben.
Belangrijkste punten
Het artikel, samen met de rectificatie, brengt volgens CIO Platform Nederland als belangrijkste punten naar voren:
- Wanneer een datalek plaatsvindt door onveilige software dient dat, voor een substantieel groter aandeel dan momenteel gebeurt, de softwareleverancier te worden aangerekend en niet de gebruiker.
- De Europese overheid moet zorgen dat er zekerheid komt dat software die op de Europese markt komt voldoet aan Europese wetten en normen.
- Het gebrek aan verantwoordelijkheid en aansprakelijkheid heeft als gevolg dat, bijvoorbeeld in het geval van de Algemene Verordening Gegevensbescherming, de risico’s voor boetes e.d. voornamelijk bij de gebruikende organisaties liggen en niet bij de leverancier van de software of Clouddienst.
Kamervragen en publicatie in diverse media
In de dagen na de publicatie heeft het artikel de nodige stof doen opwaaien. Zo is het o.a. opgepikt door verschillende media zoals BNR nieuwsradio en NPO Radio 1. Daarnaast heeft kamerlid Kathmann (PvdA) op basis van het stuk een zestal Kamervragen ingediend. Deze vragen zijn grotendeels goed in lijn met de punten die CIO Platform Nederland naar voren brengt, met een belangrijke uitzondering. De aan CIO Platform Nederland en zijn directeur toegedichte mening, namelijk ‘dat niet de gebruiker van software, maar de ontwikkelaar verantwoordelijk moet zijn voor het implementeren van AVG-eisen’ is niet onze mening. Zoals hiervoor al is aangegeven zijn we van mening dat de verantwoordelijkheid eerlijker moet worden verdeeld, waarbij als het gebrek ligt bij de software, de maker daarvan verantwoordelijk moet worden gehouden en niet de gebruiker.
Tot slot zullen wij de komende tijd een goed vervolg proberen te geven aan de aandacht van het artikel. Onze gezamenlijke boodschap over het voldoen aan de AVG en de ongelijkheid op de software- en Cloudmarkt zullen wij blijven uitdragen.
Lees ook het follow up artikel over GDPR compliance uitdagingen dat 18 april in het FD is verschenen. De Europese Data Protection Toezichthouder onderzoekt contracten met Microsoft over mogelijke opslag van persoonsgegevens van de Europese Commissie staf in de V.S.
Voor vragen en/of opmerkingen, stuur een bericht naar info@cio-platform.nl
What if no new management assistants graduate in five years' time?
18 september 2023 Times are changing. But who then makes the complex appointments, who makes sure the agenda is correct, who is the person in the background who arranges everything? Read more in the current blog by Judith van der Kolk from Spaarne hospital. lees verderWat nou als er over 5 jaar geen nieuwe management assistenten meer afstuderen?
18 september 2023 Tijden veranderen. Maar wie maakt dan de complexe afspraken, wie zorgt dat de agenda klopt, wie is de degene op de achtergrond die alles regelt? Lees verder in de actuele blog van Judith van der Kolk van Spaarne Gasthuis. lees verderZorg voor een Enterprise Architect; Hoe een Enterprise Architect ontzorgt en zorgt
11 september 2023 ‘’Ja leuk, Enterprise Architect! Vast interessant en belangrijk, maar wat doe je nou eigenlijk?’’ Voor veel mensen is het een behoorlijk abstracte rol, die niet altijd makkelijk te plaatsen is. Gelukkig heb ik mijn elevator pitch paraat! lees verderDringende oproep aan de EC om ook de grote cloudproviders als poortwachters onder de DMA aan te wijzen
08 september 2023 Dringende oproep aan de Europese Commissie om ook de grote cloudproviders als poortwachters onder de Digital Markets Act (DMA) aan te wijzen om aanvullende verplichtingen te garanderen. lees verder