Tsja, waarom schrijf ik een blog met deze onheilspellende en cryptische titel? Vooral omdat ik zie dat bij diverse organisaties projectleiders ‘worden bedankt’, zelf de opdracht teruggeven of er niet in slagen om tot de resultaten komen die de opdrachtgevers verwachten.
Hoe komt dat toch? Ik vroeg het collega’s die ook midden in AVG trajecten zitten. Ik vroeg hen waarom een AVG traject zo lastig is en een collega verwoordde dit als volgt:
“Het is niet alleen de diversiteit. Je raakt met privacy het hart van organisatie, primair proces, informatiehuishouding, etc.” Een andere collega bevestigt dit: “De scope is zeer breed. Het loopt van de top van de organisatie tot de medewerker die de telefoon opneemt. Van het aanpassen van handboeken tot het veranderen of opheffen van rechtenstructuren op netwerkschijven. In mijn ogen onderschatten opdrachtgevers (maar ook de projectleiders) van organisaties de complexiteit en impact van de verandering en hebben daardoor verkeerde verwachtingen, mensen sneuvelen immers niet omdat ze aan de verwachtingen voldoen.”
Erg herkenbaar wat mij betreft. Maar wat we zien is dat een AVG traject er toe leidt dat je ook dingen moet oppakken die je eerder hebt moeten laten liggen en geen prioriteit hadden.
“Met een AVG traject raak je ook aan achterstallig onderhoud op de gehele informatiehuishouding.”
Ook deze is waar. AVG invoeren is helemaal niet moeilijk, als je informatiehuishouding volwassen is. Maar vaak stel je vanuit privacy vragen, die in een eerder stadium niet zijn beantwoord. Als AVG projectleider pulk je zogezegd aan korstjes van oude wonden. En dat voelt nooit lekker. We stellen vragen als: welke gegevens verzamelen we eigenlijk? En waarom? Mogen we die eigenlijk wel verzamelen? Wie kan daar allemaal bij? Wie heeft dat bepaald? Hoe spreken we met onze leveranciers over beveiliging en privacy? Organisaties die zich dergelijke vragen niet al eerder hebben gesteld (of dit voor zich uit hebben geschoven) worden hier met de AVG opnieuw mee geconfronteerd.
Maar misschien wel de belangrijkste conclusie was dat iets als een ‘AVG-project’ eigenlijk niet kan. Privacy heeft namelijk geen concreet eindresultaat, geen deadline en geen business case.
“De projecten zijn zowel breed wat betreft onderwerpen als diepgaand wat betreft impact. Wat er in mijn ogen mis gaat is dat men de noodzakelijke verandering wil aanpakken als een simpele verbetering. Als we het project enkel zien als een implementatie van een “verbetering” komen we niet “diep” genoeg. We zijn dan aan het veranderen in de “eerste orde”, we zijn een register aan het opzetten, een PIA aan het toevoegen en stellen verwerkersovereenkomsten op. Dit terwijl het nodig is om nieuwe principes en inzichten op te doen. Dat vraagt een ander leiderschap. Hierbij gaat het om de impact van de veranderingen op de bestaande cultuur en werkwijze, om het kunnen oplossen van dilemma’s tussen de oude en de nieuwe werkelijkheid. Het bepalen van wat voor de organisatie wel en niet belangrijk is.”
De rode draad van al deze meningen is misschien wel dat de verwachtingen rondom de AVG zeer ver uit elkaar liggen, zowel tussen de opdrachtgever en de projectleider als de opdrachtgever en de organisatie. Wat is eigenlijk de impact van de AVG? Wat zijn nu de beoogde doelstellingen en resultaten en welke mensen, competenties en vaardigheden (inclusief de projectleider) zijn er nodig om de privacy wetgeving goed te laten landen?
En vooral: AVG inrichten als project is niet realistisch. De werkelijke vraag is namelijk op welke manier privacy duurzaam kan worden geborgd binnen een organisatie. Want die datum van 25 mei 2018 is ook maar een datum en de maandag erna is privacy alleen maar nóg relevanter geworden.