Risk Impact: meer contracten door AVG en andere impactvolle EU-normen
Juni 2018
Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?
Doet u nog wel eens zaken puur op basis van een mondelinge afspraak? Daarmee zou u een uitzondering zijn. Steeds meer organisaties leggen noodgedwongen onderlinge afspraken vast in contracten mede door een toename van Europese normen. Bij een tekortkoming bijvoorbeeld door niet-naleving van wet- en regelgeving is daarmee direct duidelijk wie voor de (bijkomende) schade moet opdraaien.
In de loop der jaren krijgen wij steeds meer te maken met (dwingende) EU- normen die voor organisaties een steeds grotere impact veroorzaken. Zo worden boetes steeds meer gekoppeld aan een percentage van de wereldwijde omzet om afschrikwekkend te zijn en kunnen organisaties door de toegenomen regeldruk en de daaraan verbonden kosten bepaalde diensten zelfs niet meer aanbieden. Door deze ontwikkeling is het niet alleen belangrijk geworden om tijdig een impact analyse te maken, maar ook om ervoor te zorgen dat de organisatie compliant is en blijft.
Rechtstreeks werkend: de Algemene Verordening Gegevensbescherming (AVG)
In de afgelopen maanden is er in de media veel geschreven over de AVG, die twee jaar geleden al is vastgesteld. Europese burgers hebben meer nu meer controle dan ooit over hun persoonsgegevens. Hoewel bedrijven, zorgverleners, overheidsinstellingen, sportverenigingen en talloze andere organisaties al twee jaar de tijd hadden om de daarvoor noodzakelijke maatregelen te nemen, bleek een groot deel van de ministeries en veel MKB-bedrijven vlak voor de deadline nog steeds niet klaar voor de privacywet.
De meest opvallende partij in deze is misschien wel de Belastingdienst die zichzelf uitstel gaf tot mei 2019. Maar er was ook nog het incident met het medisch dossier van BN’er Samantha de Jong (beter bekend als Barbie) dat onrechtmatig was ingezien. Verder was uitgebreid onderzoek nodig naar het verborgen cameragebruik in sauna’s. Ook de Autoriteit Persoonsgegevens (AP) zelf bleek nog allesbehalve klaar toen de privacy-waakhond eigenhandig moest ingrijpen nadat personeelsgegevens per ongeluk openbaar waren gemaakt. Door ernstige personeelstekorten krijgt de organisatie vaak het etiket ‘waakhond zonder tanden’ opgeplakt.
Privacy moet vanaf nu een vast onderdeel van de hele bedrijfsvoering zijn. De hele organisatie kan immers door toedoen van één persoon in ernstige verlegenheid worden gebracht. Alleen al vanwege de grote afbreukrisico’s dient dit onderwerp niet alleen hoog op de agenda te staan, maar het belang ervan moet ook expliciet door het hoger management worden uitgesproken.
In het kader van uw strategische besluitvorming rond robotisering en automatisering is het daarom raadzaam om de consequenties van personeel altijd vooraf scherp in beeld te brengen. Analyseer het risico en alle aspecten die erbij komen kijken. Een scenarioanalyse leent zich hier uitstekend voor.
AVG-compliance als visitekaartje
Bedenk dat voldoen aan de AVG al snel dient als visitekaartje voor uw organisatie: bedrijven doen bij voorkeur alleen nog zaken met andere partijen die volledig aan de nieuwe wet voldoen. Al is het maar om hun eigen risico’s op dit gebied te beperken. Ook klanten komen graag bij u terug als u hun persoonsgegevens zorgvuldig behandelt.
Voldoen aan de AVG is dan ook een win-win situatie. Maar ook na implementatie van de maatregelen die nodig zijn om aan de nieuwe privacywet te voldoen, blijven er risico’s bestaan. Bijvoorbeeld op een datalek. Om te kunnen bepalen welke risico’s dat zijn en hoe u die kunt beheersen, kan een AVG / Privacy Impact Analyse een handig hulpmiddel zijn. Daarmee brengt u de (financiële) gevolgen in kaart van bijvoorbeeld een datalek. Wat dat betreft heeft u als Nederlandse organisatie een voordeel. Hier geldt de plicht om datalekken te melden al sinds 2016. De AVG / Privacy Impact Analyse van Aon is mede gebaseerd op die ervaring. Deze analyse kan ook internationaal worden uitgevoerd middels een GDPR Impact analyse.
Aon biedt met de GDPR protect solution ook een totaaloplossing aan ter bestrijding van cyberrisico’s. Deze oplossing is modulair opgebouwd, van een adequate cyberverzekering tot hulp bij de afwikkeling van een cyberaanval. Het doel is altijd om uitval van bedrijfsprocessen te voorkomen dan wel te beperken en financiële schade voor de organisatie tot een minimum te reduceren.
Van klachten tot claims
Niet alleen organisaties onderling, maar ook de consument doet meer en meer zijn best om bij gebrekkige producten of diensten zijn gelijk te halen en een schadevergoeding te krijgen. Hoe ga je daar als organisatie mee om?
De groei aan claims is niet alleen iets van de laatste maanden of van één branche of sector, maar neemt wel steeds sneller toe. Schadevergoedingen na ‘medische missers’ slokten in 2017 maar liefst 43 miljoen euro van het zorgbudget op – een kostenpost die in 2006 nog maar zo’n 9 miljoen euro was. Bij de NAM regent het al jaren claims voor aardbevingsschade in Groningen. Uit woede over woekerpolissen van banken bundelen consumenten steeds vaker via ‘class action’ hun krachten.
Niet alleen het aantal claims groeit, ook het gemiddelde bedrag van een claim stijgt aanzienlijk. Stap voor stap draagt elke rechterlijke uitspraak daaraan bij. Als organisatie wilt u natuurlijk voorkomen dat een groot deel van uw winst en vermogen aan schadevergoedingen opgaat. De grote vraag is: hoe regelt u dit?
Het spreekwoord ‘voorkomen is beter dan genezen’ is hier volop van toepassing. Een tevreden klant klaagt en claimt immers ook niet. Staat u voor kwaliteit? Begin dan met een strak ingericht primair proces en zorg ervoor dat de houding en het gedrag van uw medewerkers daar volledig mee in lijn zijn.
Een goed ingerichte klachtenprocedure is cruciaal als het toch fout gaat. Claims komen namelijk in veel gevallen voort uit een klacht. Neem de volgende zaken in elk geval ter harte:
- Probeer er samen met de klager uit te komen, zonder tussenkomst van een rechter. Hiermee bespaart u vaak veel tijd en geld.
- Accepteer niet zonder meer schuld en overleg bij een schriftelijk ingediende claim met uw verzekeringsadviseur.
- Neem in geval van lichamelijk letsel direct contact op met uw aansprakelijkheidsverzekeraar. Die zal de bemiddeling in veel gevallen (deels) uit handen nemen en kan u adviseren over de te nemen vervolgstappen.
- Doe een beroep op de afspraken en voorwaarden die gelden op de overeenkomst. Deze kunnen uw aansprakelijkheid voor de schade beperken, mits ze in de clausules opgenomen zijn.
Besef dat u (ook op het gebied van privacy) maar één reputatie te verliezen heeft. Ga daar dus ook dusdanig mee om. Aon biedt daarom ook een palet aan diensten aan waardoor u uw risico’s in kaart kunt brengen en beheersen.