De laatste maanden zijn cio’s en it-managers druk in de weer om hun bedrijf klaar te maken voor de GDPR. Door de meesten wordt dit ervaren als een verplichting en een last. Er is echter ook een zonnige kant.
Dat cio’s niet voor hun plezier met de GDPR aan de slag gaan, valt wel te begrijpen. De Fortune 500 gaan naar schatting in totaal meer dan 7,8 miljard dollar investeren in GDPR-compliance. Bedrijven moeten bij gaan houden van wie ze persoonsgegevens in huis hebben, waarom ze die gegevens verzameld hebben en ze moeten die gegevens aantoonbaar kunnen wissen of aanpassen als daarom gevraagd wordt. Bovendien moet de databeveiliging van de hele organisatie onder de loep genomen worden. Een bewustwordingscampagne is in het gros van de gevallen nodig om alle collega’s bekend te maken met de GDPR. En dat is belangrijk, want als mensen de fout ingaan, riskeer je als bedrijf hoge boetes.
Datagedreven
Maar er zitten ook positieve kanten aan de GDPR, die op termijn de investeringen meer dan waard maken. Op de eerste plaats dwingt de GDPR bedrijven meer greep te krijgen op hun eigen data. Dat is naast een verplichting ook een grote strategische kans. Bedrijven die precies weten welke data ze waar hebben staan, kunnen die data ook gebruiken om de business te ondersteunen.
Veel verzamelde klantinformatie zit nu nog verstopt in Excel-bestanden en lijstjes zonder dat er ooit een 360-graden beeld van die klant ontstaat. Door het juiste datamanagement kunnen bedrijven deze ongebruikte data opsporen en gebruiken. Denk bijvoorbeeld aan analytics die medewerkers helpen om tot betere inzichten te komen. Of aan het verbeteren van de service door een klantcontactcenter. En ook de efficiëntie neemt toe. Kortom: de GDPR dwingt bedrijven een basisinfrastructuur neer te zetten die ze in staat gaat stellen om de business meer datagedreven te maken. Een zonnige plus!
Fatsoen
Daarnaast kent de GDPR het security-by-design principe. Gegevens moeten goed worden beschermd en er moet duidelijk zijn waarom welke gegevens worden vastgelegd. Het security by design principe is een bescherming tegen de wijze waarop voorheen data onbeperkt zijn verzameld en zelfs verhandeld, vaak zonder duidelijk medeweten van de betrokken personen. De GDPR gaat dit aan banden leggen en zorgen voor normbesef. Mensen zijn eigenaar van hun gegevens en hebben het recht te weten wat hiermee gebeurt. Ik zie het eigenlijk ook als Europese wetgeving om, in mijn ogen, een stukje fatsoen af te dwingen.
Bedrijven die klaar zijn voor de GDPR staan in de startblokken om een datagedreven onderneming te worden. Datagedreven bedrijven werken professioneel, gaan uit van transparantie en vinden het belangrijk om begrepen te worden. De klant en de data staan daarbij centraal. Bovendien gaan datagedreven bedrijven op een fatsoenlijke manier met persoonsgegevens om. Een portemonnee op straat vinden maakt het nog niet jouw portemonnee. Dat geldt ook voor persoonsgegevens. Erg fijn dat wetgeving deze positieve instelling gaat ondersteunen.
Ja helemaal waar, als je gewoon een fatsoenlijk bedrijf was met zijn zaakjes op orde, dan hoef je je niet zo druk te maken over dit allemaal. omgekeerd, als veel bedrijven nu ‘cry wolf’ doen. Zegt dat dus ook iets van hun aanpak tot nu toe en dan is de GDPR ook weer een nodige stap vooruit :).
Vanuit het bedrijfsleven bezien zit er wellicht een zonnige kant aan GDPR, maar als ik vanuit het verenigingsleven kijk, worden een veel verenigingen (die doorgaans op vrijwilligers draaien) nu opgezadeld met een heleboel regeltjes en papierwerk waar ze helemaal niet op zitten te wachten.
Voor deze verenigingen is ICT slechts een hulpmiddel (ledenadministratie, financiële administratie) waarmee verder niets gedaan wordt. De GDPR wordt daar dan ook als een behoorlijke overhead ervaren.
@Pa va ke: Klopt, maar ik denk dat de verenigingsbestuurders zich laten meeslepen in de AVG-hysterie.
Ja, natuurlijk moeten verenigingen zorgvuldig met gegevens van leden, donateurs en anderen omgaan. Maar laten we wel wezen: wat voor soort gegevens hebben ze bij een vereniging? En vooral: in welke hoeveelheden? Voor de gegevens van 500 personen gaat een professional niet proberen een site te hacken. Dat is de moeite niet waard.
Strooien met gegevens moet je niet doen (tennisbond?) en sommige gegevens zijn ook in kleine hoeveelheden voor bepaalde mensen interessant (jeugdelftallen en zo) en die moet je als bestuur, trainers, aanvoerders en redactie dus niet publiceren. Maar verder: wat voor risico op uitlekken van gegevens loopt de vereniging en wat voor moeite zou de vereniging willen steken in een waterdichte bescherming van deze persoonsgegevens? De AVG is op dit punt niet absoluut maar stelt dat de organisaties hierin zelf een afweging moeten maken.
Pas als gegevens daadwerkelijk zijn uitgelekt moet het lek gemeld worden bij de autoriteit persoonsgegevens (AP). Maar 1) hoe merkt een verenigingsbestuur dat zijn gegevens zijn uitgelekt; 2) al wordt het lek gemeld dan heeft de AP geen capaciteit om de zaak te onderzoeken, en 3) de boetes van de AP kunnen heel hoog zijn maar van een kikker kun je geen veren plukken – een boete leidt misschien tot het faillissement van de vereniging en dan stappen de leden over naar een andere vereniging of ze richten een nieuwe vereniging op.
Wat nog overblijft is, de bestuursleden te “pakken” op beschuldiging van onbehoorlijk bestuur. Met zo’n zwaard van Damocles boven het hoofd wordt het vinden van opvolgers een uitdaging. Het kan het einde betekenen van het verenigingswezen zoals wij dit kennen. Dat is volgens mij niet de bedoeling van de AVG.
@Karel: dat was ook mijn eerste gedachte. Echter, als mede-bestuurslid van een sportclub weet ik ondertussen beter. Als vereniging hebben we via de overkoepelende bond een heel mooi “self-assessment” gekregen met uitleg en stappenplan, en als ik zie wat er allemaal van ons verwacht wordt (ICT beleid, beveiligen apparaten (bedenk dat we met vrijwilligers werken die persoonlijke apparaten gebruiken), privacy statements, geheimhoudingsverklaringen …. het komt allemaal voorbij, ook voor ons.
Karel van Zanten,
De nieuwe sociale ‘dorpspomp’ binnen het verenigingsleven van datasynthese lekt aan alle kanten want tik in Google de zoekstring: ‘filetype:pdf statuten paspoort’ in en kijk eens hoeveel interessante persoonsgegevens je verkrijgt. Het is niet zo vreemd dat identiteitsdiefstal een groeiend probleem wordt want vaak is het eerdere clubblad met een beperkte oplage vervangen door een website met een onbeperkte oplage.
En dat er een einde komt aan het verenigingsleven zoals sommigen dat nu kennen is een feit want de wederkerigheid van vrijwilligheid staat volgens een (datagedreven) organisatie zoals StatLine al enige jaren onder druk. De oorzaak hiervan zou ik eerder zoeken in betaalde arbeidsparticipatie dan AVG-hysterie. Arbeid is nu eenmaal conjuctuurgevoelig en bestuurlijke verplichtingen om behoorlijk te besturen staat binnen vereniging uiteindelijk vaak onder druk omdat vrijwilligheid geen vrijblijvendheid is.
“Mensen zijn eigenaar van hun gegevens en hebben het recht te weten wat hiermee gebeurt”. Helemaal mee eens en de overheid ook. Veel instanties denken daar nog steeds anders over. Ben benieuwd of de Autoriteit Persoonsgegevens (met een duwtje vanuit de EU) boetes gaat uitdelen, want niet elke fout wordt “te goeder trouw” gemaakt.