De Algemene Verordening Gegevensbescherming (AVG) is alweer een paar maanden oud, het stof is neergedaald. We zien dat veel organisaties nog steeds worstelen met de concrete invulling van deze wetgeving. In de eerste plaats komt dit omdat er veel open normen zijn. Wat zijn ‘passende technische en organisatorische maatregelen’ precies? Wanneer is er sprake van een ‘verhoogd risico’? En, wanneer kun je een verzoek op inzage weigeren? Daarnaast is er ook veel onduidelijk over de invulling van bepaalde verplichtingen. Op welke niveau moet je een register van verwerkingsactiviteiten invullen? Welk detailniveau is vereist voor een Privacy Impact Assessment? En, wat moet er precies in een privacyverklaring staan?
Heel veel vragen waarover nog veel onduidelijkheid bestaat. Nu het stof is neergedaald zien wij globaal twee typen organisaties. Binnen de ene organisatie wordt de AVG voornamelijk als ‘nonsense’ ervaren en in de andere organisatie wordt de AVG als ‘sense’ gezien.
Type 1: ‘Dat mag niet meer van de AVG’-organisaties. De AVG is nonsense.
Als reactie op de onduidelijkheden in de AVG zien wij veel organisaties zoeken naar de juiste interpretatie van de AVG. Veelal wordt gekozen voor een ‘strikte’ interpretatie om zoveel mogelijk risico’s uit te sluiten. Dit wordt voornamelijk gedreven door de hoge boetes. Want, wat als de toezichthouder langs komt? Kortom, de onzekerheid slaat om in angst om het fout te doen.
De haast waarmee de AVG is geïmplementeerd, de onduidelijkheid over de concrete invulling én de angst om het fout te doen heeft ernstig (nadelige) gevolgen voor de bedrijfsvoering gehad in veel organisaties. De AVG wordt gezien als een ‘moetje’. Niet echt een inspirerende reden om aan de slag te gaan met privacy. Er is een allergie voor de AVG ontstaan. Medewerkers ervaren de AVG als belemmerend voor de uitvoering in de primaire processen, waardoor medewerkers wel ‘ja’ zeggen, maar vaak in de praktijk ‘nee’ doen. De heersende overtuiging is dat er niets meer mag van de AVG. Het is zelfs voorgekomen dat binnen een zorgorganisatie de cliëntdossiers werden vernietigd omdat de medewerkers dachten dat een cliëntdossier niet meer mocht van de AVG. Dit heeft geleid tot veel regels, procedures en afvinklijstjes die strikt opgevolgd worden maar waarbij geen ruimte meer is voor het gezonde verstand.
De voorbeelden van AVG nonsense vliegen je om de oren; van verwerkersovereenkomsten met eigen medewerkers, rode stippen op het voorhoofd als je niet herkenbaar op de foto wilt, tot klassenfoto’s waarbij de gezichten zwart zijn ingekleurd. Organisaties zijn niet meer voldoende in staat om de zin en onzin van de AVG te scheiden.
Type 2: ‘Vergroot de betrouwbaarheid’-organisaties. De AVG is sense.
We zien ook organisaties die het voor elkaar krijgen om de AVG voor zich te laten werken. Zij zien de open normen en de onduidelijkheid over de invulling van de eisen uit de AVG als mogelijkheid om daar zelf invulling aan te geven. Niet de AVG dicteert hoe de organisatie werkt, de organisatie gebruikt de AVG om haar processen te optimaliseren, binnen de grenzen van de strategie van de organisatie.
Deze type organisaties zorgen voor een positief sentiment op het gebied van privacy en beveiliging. Medewerkers binnen deze organisaties zijn intrinsiek gemotiveerd omdat zij begrijpen waarom de AVG, en het beschermen van de privacy, belangrijk is voor de organisatie. Deze organisaties grijpen de AVG aan als een manier om de organisatie verder te professionaliseren, niet alleen op het gebied van privacy, maar in een breder perspectief. Medewerkers handelen niet uitsluitend volgens de regels, procedures en afvinklijstjes. Omdat zij het belang van privacy kennen, weten waarom dit belangrijk is voor de organisatie en de klant, zijn zij in staat om in de geest van de AVG te handelen. Zo wordt het mogelijk om recht te doen aan de individuele behoeften van klanten, binnen de kaders en basisbeginselen van de AVG. Het resultaat: een organisatie waarin de vertrouwensrelatie met de klant centraal staat en waarin de betrouwbaarheid van de organisatie wordt vergroot.
Deze organisaties hebben het lef en de durf om de zin en de onzin van de AVG te scheiden, nemen gecalculeerde risico’s. Niet de strikte regels zijn leidend maar de basisbeginselen van de AVG zijn bepalend in de keuzes die zij maken.
Natuurlijk zijn er nog veel meer varianten denkbaar. Cultuur wordt immers bepaald door de medewerkers van de organisatie. Elk mens is anders en dus is ook elke organisatie anders. Waar je op dit moment ook staat, het ontwikkelen van een privacycultuur waarin medewerkers het gewenste gedrag laten zien gaat niet over één nacht ijs. Lees onze Expertview hierover voor meer informatie.