In theorie kunnen organisaties makkelijk voldoen aan de eisen van de AVG. Een Functionaris voor Gegevensbescherming (FG) aanstellen is immers zo gedaan en je privacy statement aanpassen is ook zo gebeurd? Daarnaast doe je aan het begin van een project snel even een Privacy Impact Assessment, denk je wat na over Privacy by Design en richt je het proces en het systeem privacy vriendelijk in. En klaar is Kees.
Maar dat is theorie. Want wat is de praktijk? We werken met kernsystemen die al minimaal ‘tig’ jaar draaien en dat nog ‘tig’ jaar zullen doen omdat ICTers “er niet meer aan durven te komen”.
Met alle aandacht voor de AVG is het zeker mogelijk om nieuwe processen en systemen onder handen te nemen. Maar de kernvraag is: wat doen we met de bestaande systemen? Immers, huidige softwareapplicaties, websites en andere (technische) toepassingen zijn vaak niet gebouwd met de AVG in gedachten. Deze vervang je ook niet zomaar even op 26 mei 2018 door een wél AVG-proof systeem. Maar wat moet je hiermee dan doen? De meeste persoonsgegevens verwerken we immers nog in bestaande systemen.
Rigoureus ingrijpen is vaak niet haalbaar, maar zeker ook niet altijd noodzakelijk. Er zijn altijd kleinere of grotere stappen te zetten door opnieuw te kijken naar je bestaande processen en systemen. Kijk bijvoorbeeld wat je aan overvloedige gegevensverzameling kunt stoppen. Kijk hoe je bestaande archieven kunt schonen of kijk hoe je bestaande autorisaties kunt aanscherpen.
Als het niet mogelijk is om alles opnieuw op te bouwen om aan de AVG te voldoen, kijk dan welke opties je wel hebt. Want altijd is verbetering mogelijk. Zorg dat je in beeld hebt op welke manier je huidige systemen zo privacy vriendelijk mogelijk kunt inrichten. Bepaal vervolgens risico gebaseerd de noodzakelijke wijzigingen en maak een concreet stappenplan voor de komende maanden. Je kunt immers niet alles in één keer doorvoeren. Dus misschien moet ‘Privacy by Design’ niet de ambitie zijn, maar kunnen we beter mikken op ‘Privacy by Re-design’?