Het is 24 mei en ik luister naar Aleid Wolfsen, één van de sprekers op het Nationaal privacy Event bij Duthler. Het gaat over privacy, uiteraard. De hype is op een hoogtepunt en iedereen hangt aan de lippen van onze autoriteit. Op 25 mei wordt de Algemene Verordening gegevensbescherming (AVG) effectief en dan zwaait er wat. Of niet. Dat blijft voor velen de belangrijkste vraag.
Er zijn genoeg lieden die met droge ogen beweren dat het allemaal wel mee zal vallen. Wij zijn immers een land van gedogen en de soep wordt vast niet zo heet gegeten. Als onafhankelijk toezichthouder kan de Autoriteit Persoonsgegevens (AP) echter weinig anders doen dan precies dat: toezicht houden. De positie en de slagkracht van de Autoriteit Persoonsgegevens zijn geborgd op Europees niveau en iedereen weet dat vanuit de EU fikse dreunen worden uitgedeeld. Wie herinnert zich niet de mega-boete van Neelie Kroes voor Microsoft. Er is dan ook al veel geschreven over de handhaving van de nieuwe privacywetgeving en vooral over de torenhoge boetes. In essentie draait het natuurlijk niet om de boetes, al zit niemand erop te wachten.
Meer transparantie en controle
Waar het wel om gaat: de bescherming van persoonsgegevens is een grondrecht. De snel voortschrijdende technologie en de grootschalige commerciële uitbuiting daarvan hebben dat grondrecht inmiddels behoorlijk uitgehold. En ook de politiek laat zich niet onbetuigd, getuige de schandalen rondom Edward Snowdon en Facebook/Cambridge Analytica.
Hoog tijd dus voor meer transparantie en controle. En laat dat nou precies zijn waar de AVG om draait: burgers krijgen meer controle over het gebruik van hun data en organisaties dienen controle te hebben over hun verwerking van persoonsgegevens en daar transparant over te zijn.
Veel voorkomende valkuilen
Dit klinkt ogenschijnlijk simpel, maar het blijkt toch een stuk minder eenvoudig. Veel organisaties worstelen dan ook (terecht) met het onderwerp privacy en zoeken houvast. In de praktijk zie ik dat niet altijd de juiste invalshoek wordt gehanteerd:
Kortetermijndenken. De AVG is op dit moment een ‘green field’. Zelfverklaarde experts en it-leveranciers spelen handig in op de onzekerheid en beloven organisaties het blauw van de hemel als het om de AVG gaat. Pasklare oplossingen en mooie tools garanderen ‘compliance’ en dat nog wel op korte termijn. Hoe verleidelijk ook, er bestaat helaas geen ‘quick fix’ voor privacy. Privacy is iets van de langere termijn; de komende jaren zullen de richtlijnen elkaar blijven opvolgen, om de wettelijke eisen ook praktisch hanteerbaar te maken. Het is zaak om daarop in te spelen.
Bureaucratische insteek. De AVG is geen checklist of afvink-lijst met duidelijke regels. De wet geeft in veel gevallen niet meer dan een kader bevat veel open normen. Tegelijkertijd is er nog geen jurisprudentie beschikbaar, als leidraad voor het interpreteren van de wet.
Het naar de letter willen volgen van de wet is dus niet verstandig. Het kan snel ontaarden in overbodige regelzucht, ondoorzichtige procedures en een enorme papierwinkel. De paarse krokodillen liggen bij wijze van spreken al bij de ingang.
Belangrijker is om de achterliggende principes toe te passen, dus het handelen naar de geest van de wet. En ja, dat betekent ook omgaan met onzekerheid, want de wet biedt vaak niet voldoende houvast.
Top-down benadering. Bewustwording is een belangrijk aspect van de nieuwe wet. Niet voor niets benoemt de Autoriteit Persoonsgegevens dit als nummer één in zijn stappenplan. Zelf merk ik dat dit in de praktijk bijna altijd te weinig aandacht krijgt en dat is jammer. Als medewerkers de achterliggende principes van de AVG begrijpen, zullen ze zelf actief bijdragen aan werkbare oplossingen. Wel vragen mensen zich terecht af ‘wat gaat die nieuwe wet voor mij betekenen?’. Er is dus daarnaast ook behoefte aan duidelijke afspraken en specifieke taakinstructies hoe om te gaan met persoonsgegevens.
Wat is het alternatief?
Het gaat uiteindelijk niet om ‘compliance’. De Autoriteit Persoonsgegevens verwacht helemaal niet dat de wet 100 procent wordt nagevolgd (zo dat al mogelijk is). Het gaat erom dat u als organisatie ‘in control’ bent. In gewoon Nederlands: het gaat erom dat u weet hoe de vlag erbij hangt en dat u als organisatie een concreet aanvalsplan hebt om de risico’s aan te pakken. Dat doet u bijvoorbeeld door het opstellen van een routekaart, waarin u per aandachtsgebied in de tijd uitzet welke stappen gepland zijn voor het beschermen van persoonsgegevens.
Om ‘in control’ te komen is een waaier aan maatregelen nodig, die ingrijpen op elk aspect van de bedrijfsvoering. Privacy is dus terecht een ‘business issue’. Wat echter niet vergeten moet worden is de enorme impact die het op de it zal hebben. Zelf heb ik van origine een it-achtergrond en dat maakt het gemakkelijker om te begrijpen welke maatregelen er nodig zullen zijn op het vlak van nieuwbouw, beheer en uitbesteding van it. Het valt te verwachten dat vooral het uitoefenen van de ‘rechten van betrokkenen’ op korte termijn in veel organisaties tot paniek zal leiden. Het is namelijk razend complex en arbeidsintensief om invulling te geven aan de simpele vraag ‘welke persoonsgegevens hebben jullie van mij?’.
Tenslotte
Uiteindelijk weet op dit moment niemand hoe de AVG in de praktijk zal uitpakken, ook de AP niet. In ieder geval kunnen we dit zeggen over de bescherming van persoonsgegevens: 25 mei 2018 is niet het einde, maar het begin.
Nu gaat het beginnen, nu
