Tech

Powered by

Geen smoesjes om niet aan AVG te voldoen

We zijn ongeveer een jaar onderweg met de AVG. Correctie: we zijn ongeveer drie jaar onderweg met de AVG. De wet trad namelijk al in werking op 24 mei 2016. Vanaf die dag hebben organisaties twee jaar de tijd gekregen om hun processen en systemen in overeenstemming met de AVG te brengen. Steek je hand op als het jouw organisatie is gelukt. Niemand?

Oké, steek dan je hand op als jouw organisatie nú voldoet aan de AVG. Bij de tweede oproep gaan voorzichtig wat handen omhoog. Als ik doorvraag, blijkt in veel gevallen dat 'voldoen aan' inhoudt dat de verplichte documentatie aanwezig is en dat er 'iets' aan bewustwording is gedaan – licht gepropageerde papieren tijgers. De toepassing en verankering van gegevensbescherming in processen en systemen blijkt nog een brug te ver.

Moeilijk

Is de toepassing van de AVG dan zo moeilijk? Ja, maar…

Ja:
•    Het vergt een enorm diepgaand inzicht in je organisatie om het totaaloverzicht te krijgen.

•    Er is gebundelde kennis en coördinatie op organisatorisch, IT en juridisch gebied voor nodig.

•    Softwareleveranciers ondersteunen een goede toepassing van de AVG nog onvoldoende (privacy by design/default).

•    De grootste uitdaging is het veranderen van cultuur en gedrag.

Maar:
•    De vereisten uit de AVG verschillen verrassend weinig van die uit de Wbp, die al 19 jaar oud is.

•    Diepgaand inzicht en overzicht met betrekking tot organisatieprocessen had er al moeten zijn. Enerzijds om de organisatie goed aan te sturen, anderzijds om efficiënt en effectief te voldoen aan andere (verantwoordings)plichten.

•    Met een goede basisset maatregelen kunnen aanvullende maatregelen gericht en risicogericht genomen worden.

•    Werknemers zijn bereid om mee te werken als ze beter begrijpen wat de risico’s zijn.

Doen

Veelgehoorde bedenkingen bij verdere investering in AVG-compliance zijn: "hier hebben we geen budget (meer) voor"; wel budget, maar in de praktijk geen tijd; "om de Autoriteit Persoonsgegevens hoeven we ons voorlopig geen zorgen te maken"; of "de meeste overheidsinstanties zijn zelf ook niet klaar voor de AVG".

Ondanks dat dit reële punten zijn, kun je het niet verkopen aan cliënten, patiënten, autoriteiten en jezelf dat je niet je best hebt gedaan om persoonsgegevens te beschermen. Met andere woorden: er zijn geen gerechtvaardigde belangen om niet aan de AVG te voldoen. Zorg ervoor dat je dit niet the hard way leert. Een eventuele boete is naar, maar de mogelijke gevolgen van reputatieschade zijn niet te overzien.

Ga daarom voor de eindsprint en geef een positieve impuls aan je AVG-implementatie. Als je dit goed doet, geeft dit ongekend veel overzicht, en daarmee controle, over je organisatieprocessen. Neem hiervoor de tijd die nodig is. Sta stil, denk (samen) na, leg vast, pas toe.

En onthoud: de AVG vraagt geen rare dingen van je, maar vraagt je juist om geen rare dingen te doen met persoonsgegevens.

Jurgen Limberg

Senior Consultant bij BAS Consultancy

Jurgen Limberg_311

2 Reacties

om een reactie achter te laten

Jacob Wijnia

25 april 2019

Volgens mij is 'de mens' de achilleshiel rond het verantwoord omgaan met privacygevoelige informatie. Wanneer de 'doorsnee' medewerker al in de thuissituatie buitengewoon slordig omgaat met privacygevoelige informatie moeten we niet verwachten dat dezelfde medewerker in de instelling opeens voorbeeldig gedrag gaat vertonen. Het is mijns inziens ook een maatschappelijk issue.

Jurgen Limberg

29 april 2019

De mens is inderdaad, zoals meestal, de zwakste schakel in het geheel. Bovendien zijn we in Nederland nog relatief naïef, bijvoorbeeld in vergelijking met Duitsland en het Verenigd Koninkrijk, als het gaat om de risico's voor onszelf en voor anderen. (mogelijk doel je daar ook op met "maatschappelijk issue") Ik vind niet dat we panisch moeten worden, maar wel bewust. Dit is een proces, dat voor de ene langer duurt en meer moeite kost dan voor de andere. Pakkende praktijkvoorbeelden en herhaling (met variatie) kunnen het proces versnellen en versoepelen.

Top