Volgens het Financieele Dagblad zijn bedrijven in paniek over de nieuwe privacywetgeving. ‘Paniek’. Dit past keurig in de traditie dat allerlei zelfverklaarde specialisten voortdurend dreigen met de boetes van 20.000.000 euro die uit deze Europese wetgeving zouden volgen. En oh ja, je hebt nog maar tot mei 2018. Jakkes, dat haalt het vakantiegevoel wel meteen weer uit de mens.
Mijn mening: hoezo paniek? Begrijp me goed, het is hoog tijd dat organisaties het onderwerp privacy serieuzer gaan nemen. Het is namelijk wel ‘een dingetje’ dat serieus aandacht vraagt. Maar paniek is niet nodig. Waarom?
· Organisaties beginnen niet op nul. Privacywetgeving is er al jaren. Het onderwerp is misschien wat onderbelicht geweest, maar ik ken nauwelijks organisaties die wel veel gevoelige persoonsgegevens hebben en nog niets hebben geregeld. Natuurlijk, er zijn altijd ‘startups’ en organisaties die maar wat aan prutsen. Die mogen in paniek raken. Graag. Maar die zijn veruit in de minderheid: de meeste organisaties weten precies wat ze moeten doen en er is een groep organisaties die zeker al wel een basis hebben, maar ook nog wel het nodige huiswerk.
· Het inrichten van privacy kan binnen bestaande structuren. Veel organisaties hebben al kapstokken voor privacy, zoals kwaliteitsprocessen, organisatiemodellen, informatiebeveiliging, controleprocessen en leveranciersmanagement. Je hoeft echt niet op nul te beginnen. Het is wel zaak om binnen de bestaande structuren privacy een passend plek te geven.
· Privacywetgeving staat bol van open normen zoals ‘adequate bescherming’, ‘doe aan privacy by design’ en ‘voer bij risicovolle verwerkingen een Privacy Impact Assessment uit’. Deze kreten worden met een wijs gezicht geslaakt bij de zoveelste ‘AVG awareness-sessie’, maar wat deze termen exact betekenen staat niet precies in de wet. Sommigen vinden het storend dat niet wat duidelijker is wat wel mag en wat niet. Ik zie het echter als voordeel: je hebt als organisatie de mogelijkheid om deze open normen te vertalen op een manier die bij jouw organisatie past.
· De boetebevoegdheid en toezicht waarmee wordt gedreigd is boterzacht. Op papier heeft de Autoriteit Persoonsgegevens (AP) veel bevoegdheden, maar het daadwerkelijk opleggen van een boete is in Nederland nog niet gebeurd. Ik heb persoonlijk een weddenschap dat dit in 2017 ook niet gaat gebeuren. Met de nieuwe privacy wetgeving komt mogelijk verandering in de boetebevoegdheid van de AP, maar ook dan is nog niet duidelijk hoe het AP kan gaan handhaven.
Paniek is dus niet nodig, maar actie wel. Privacy is namelijk wel ‘een dingetje’. Waarom?
· De aandacht voor privacy is niet iets wat overwaait. Het onderwerp privacy zal net zo logisch worden als het onderwerp kwaliteit. Het zal onderdeel worden van je bedrijfsvoering en iedereen heeft er een verantwoordelijkheid in. Sterker nog: het netjes omgaan met persoonsgegevens wordt een kwaliteitskenmerk. Mijn observatie is niet dat organisaties in paniek zijn, maar ik denk wel dat veel organisaties de illusie hebben dat ze de privacywetgeving met ‘een projectje’ kunnen implementeren. Dat is niet juist, ook na 25 mei 2018 is aandacht nodig om het belang van privacy duurzaam binnen een organisatie te borgen.
· Privacy is een onvolwassen vakgebied. Er is weinig tooling, er is veel theorie maar weinig praktische ervaring, er is weinig concrete uitleg over de abstracte begrippen en er zijn weinig goed getrainde mensen.
· Privacy botst conceptueel met andere ontwikkelingen. Privacy draait om bewust en minimaal gebruik van persoonsgegevens. En dat dan veilig met partijen met wie je afspraken hebt. En onze bedrijfsprocessen gaan naar de cloud, we analyseren onze klanten met big data, voorzien in onze ICT behoefte via multisourcing en wisselen uit met allerlei ketenpartners. En dat kan allemaal zonder dat de privacy in gedrang komt, maar alleen als je het specifieke aandacht geeft.
· Bestuurders moeten de leiding nemen. Ik gaf eerder aan dat de boete nog wel even op zich laat wachten. Maar aan privacy doen omdat anders een boete dreigt is eigenlijk een verkeerde drijfveer. Eigenlijk moet je aan privacy doen omdat de personen wiens gegevens je beheert dit ook verdienen. En op dit punt zie ik wel verandering. Menig bestuurder of wethouder heeft zich al dan niet publiek moeten verantwoorden over een datalek, met de nodige moties van wantrouwen en afkeuring tot gevolg. In Zweden is zelfs een heuse kabinetscrisis ontstaan na een datalek.
Dus wanneer u een beetje gehecht bent aan uw werkplek, uw collega’s of uw pluche: raak niet in paniek. Maar ga wel serieus aan de slag.