Nog een dikke week en dan geldt in de hele EU dezelfde privacywetgeving. Overheden, bedrijfsleven en verenigingen die vanaf 25 mei nog niet voldoen aan de Algemene verordening gegevensbescherming (AVG) zijn in overtreding en riskeren boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Executive Finance sprak Aleid Wolfsen, voorzitter van de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) en wilde alles van hem weten (over de AVG).

CFO’s krijgen ook met nieuwe verordening persoonsgegevens te maken

Wolfsen wijst er op dat ook CFO’s met de nieuwe verordening te maken krijgen omdat veel financiële gegevens zijn gerelateerd aan persoonsgegevens van klanten. Bedrijven moeten zich continu afvragen welke persoonsgegevens ze in huis hebben, op basis waarvan ze deze gegevens hebben, of ze er op een integere en veilige manier mee omgaan en of de gegevens niet langer dan noodzakelijk bewaard worden.

Mensen zullen gebruik maken van hun nieuwe rechten

Dat is echter maar één kant van de AVG.  “De andere kant is dat mensen vanaf 25 mei nieuwe rechten hebben gekregen en daar ook gebruik van gaan maken”, waarschuwt Wolfsen. “Die zullen zeggen: mag ik inzage in mijn gegevens? Of, ik ga van telecomaanbieder A naar aanbieder B en ik wil mijn gegevens meenemen. Daar moet je als bedrijf aan kunnen voldoen en dat vereist dat je gegevensboekhouding goed op orde is.”

Naast finance liggen compliance en IT in veel gevallen ook op het bordje van de CFO. Dat zijn gebieden die duidelijk raken aan de AVG. Wat betekent dat voor de rol van de CFO als het gaat om gegevensbescherming?

“Het hangt een beetje af van de omvang van de onderneming of organisatie. Overheidsinstellingen moeten allemaal een Functionaris Gegevensbescherming (FG) hebben die verantwoordelijk is voor de gegevensbescherming. Bedrijven moeten een FG hebben als ze grootschalig data verwerken die van gevoelige aard zijn, bijvoorbeeld gezondheidsgegevens. Deze FG heeft een speciale positie, hij is verantwoordelijk voor het interne toezicht. Als er geen FG is, spreken wij formeel de CEO aan, maar intern zal deze taak vaak zijn toegedicht aan de CFO als die ook voor IT verantwoordelijk is.”