Laten we eerlijk zijn: zodra de overheid nieuwe regels in een wet moet vatten, dan hebben we als managers en bestuurders toch gewoon gefaald? Alsof we kleine kinderen zijn, die ouders nodig hebben om ze te vertellen wat wel en niet mag. En als je je daar niet aan houdt, dat je dan straf krijgt? Helaas heeft het de overheid toch behaagd om nieuwe wetgeving te introduceren, weer wat nieuws waar je als manager of bestuurder wat mee moet!
Als je niet onder een steen hebt gelegen, dan weet je dat de AVG aanstaande is. Vanaf 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie, terwijl de lidstaten nu nog hun eigen nationale wetten hebben, die gebaseerd zijn op de Europese privacyrichtlijn uit 1995.
Wetgeving
Privacywetgeving is dus niet nieuw, al decennialang buigen overheden zich over de vraag: “welke persoonsgegevens mogen organisaties nu wel en niet en onder welke voorwaarden verwerken?”. Blijkbaar was het nodig om de wetgeving verder aan te scherpen. En waarom? Kennelijk omdat wij ondernemers en managers er een potje van maken. Dat consumenten hun hele hebben en houwen zomaar weggeven aan partijen zoals Facebook, Twitter, Instagram en andere “sociale” media, is kennelijk iets dat over de rug van bedrijven moet worden opgelost. Ach, helemaal onterecht is het niet, want bedrijven zijn maar wat blij met data van (potentiele) klanten. Via cookies, adwords, retargeting, marketing automation en adressenbestanden bestoken we ze zo veel mogelijk met informatie over onze bedrijven.
Ondertussen zitten we er maar mooi mee. Met die AVG. Want er komen behoorlijk wat zaken bij die organisaties, die persoonsgegevens verwerken, moeten regelen. Niet alleen zijn er voorwaarden gesteld om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken, diezelfde mensen krijgen ook nog eens het recht om de toestemming in te trekken.
Praktijk
Een praktijkvoorbeeld: je vraagt bij een organisatie een whitepaper aan door je bedrijfsnaam, naam, telefoonnummer en emailadres in te voeren. De organisatie stuurt je de whitepaper toe, maar mag niets anders met jouw gegevens doen, tenzij je daar expliciet toestemming voor gegeven hebt. Je hebt vervolgens echter het recht om de organisatie te vragen om bijvoorbeeld je emailadres uit hun bestanden te verwijderen. De organisatie moet daar gehoor aan geven en je emailadres uit haar CRM-systeem verwijderen. Maar ook uit haar emailsysteem. En dat is een behoorlijke uitdaging! CRM-systemen zijn nog redelijk goed gestructureerd (als je een goede gebruikt), maar email is al snel ongestructureerd, zeker als je gebruik maakt van gedeelde mappen en centrale mailboxen. Daarbij komt ook nog eens dat bedrijven die hun informatiebeveiliging serieus nemen, regelmatig een backup maken van gegevens. Ook daar moet het emailadres verwijderd worden. Hoe dit in de praktijk gaat werken en hoe een persoon kan controleren dat je het emailadres daadwerkelijk verwijderd hebt, is mij nog niet duidelijk. Dat het administratieve druk gaat opleveren waar je geen cent extra aan verdient, dat wel! Als klap op de vuurpijl kan een persoon ook nog van de organisatie vragen om al zijn gegevens te verwijderen, een soort van digitale euthanasie dus. Of de organisatie dan wel mag onthouden dat het recht om vergeten te worden is ingeroepen is mij nog niet duidelijk, maar ik kan me voorstellen dat het wenselijk is om later aan te kunnen tonen dat de organisatie bepaalde gegevens niet kwijt geraakt is, maar op verzoek van de persoon verwijderd heeft.
Je wilt er toch gewoon voor zorgen dat de integriteit en veiligheid van de aan jou toevertrouwde gegevens gewaarborgd is?
Basis hygiëne
Naast het “recht om vergeten te worden”, zijn er nog een aantal andere zaken die bedrijven en andere organisaties moeten overwegen en regelen. Organisaties kunnen onder de AVG verplicht zijn een Functionaris voor de gegevensbescherming (FG) (een interne privacytoezichthouder) aan te stellen. Ook kan het zijn dat je een Data protection impact assessment (DPIA) moet uitvoeren. Daarnaast moet je goed vastleggen welke afwegingen je gemaakt hebt en hoe je een en ander geborgd hebt om later aan te kunnen tonen dat je goed gehandeld hebt.
Doe je dit niet, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal € 20.000.000,-. Zoals jullie weten is angst een slechte raadgever, dus laat je vooral niet bang maken door het astronomische bedrag. Want voordat het zover is moet je het echt heel bont gemaakt hebben. Liever zou ik zien dat je de verwerking van persoonsgegevens op orde brengt omdat je ervan overtuigd bent dat het basis hygiëne is. Je wilt er toch gewoon voor zorgen dat de integriteit en veiligheid van de aan jou toevertrouwde gegevens gewaarborgd is? Ja toch? En dat je je klanten vol trots kan vertellen dat jij het wel op orde hebt? Gewoon, omdat je vindt dat ze dat verdienen? Dan hebben we die AVG ook niet meer nodig, weg ermee!
Wil je meer informatie over de AVG, bezoek dan de website van de AP. Wil je aan de slag met de AVG? Dan zou je dit implementatiemodel kunnen gebruiken: https://www.privit8.nl. Ook als Jong Management zijn we ons bewust van de nieuwe wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens. Ons beleid hieromtrent zullen we tijdig op de website publiceren.
Over de auteur:
Jan Martijn Broekhof is lid van JM kring Utrecht en eigenaar van Guardian360, een bedrijf gespecialiseerd in het beveiligen van complexe IT-infrastructuren. In 2017 won Jan Martijn de titel JM Ondernemer van het Jaar.