Al eerder heeft  u op dit platform een artikel kunnen lezen over de Algemene Verordening Gegevensbescherming (AVG) onder de noemer “Urgent onderwerp: de bescherming van persoonsgegevens”. Ook dit artikel handelt over deze nieuwe regelgeving. Omdat de Bescherming van Persoonsgegevens meer impact heeft dan u denkt. Reden te meer dit item hoog op de agenda te plaatsen tijdens uw overleg met directie of bestuurder.

Waarom wordt Bescherming van Persoonsgegevens onderschat?

Daar zijn vele verklaringen voor te bedenken. Ik som enkele misvattingen (zonder uitputtend te willen zijn) voor u op:

Het zal zo’n vaart niet lopen met deze verordening
De Autoriteit Persoonsgegevens gaat voor handhaving en controle 300 medewerkers inzetten. Een duidelijk signaal dat het serieus wordt genomen. En laten we wel wezen: sommige organisaties zijn als laaghangend fruit. Bezoek een willekeurige website en de privacyverklaring ontbreekt. Direct een signaal om door te pakken.

We hebben toch een privacy-statement
Zeker een belangrijk aspect, maar slechts het topje van de ijsberg. Om te voldoen aan de AVG zult u veel meer aan moeten tonen. Hoe gaat u bijvoorbeeld voldoen aan het recht op informatie, het recht op inzage, het recht op bezwaar, het recht op correctie, etc. Maar ook systemen moeten op orde zijn en dan met name de beveiliging.

Daar hebben we de IT afdeling toch voor
IT is slechts een onderdeel van het groter geheel. Natuurlijk moeten er veiligheidskleppen ingebouwd worden in systemen. Beveiliging die voorkomt dat gegevens openbaar worden.

De belangrijkste schakel zijn echter de medewerkers binnen de organisatie. Zij moeten zich ervan bewust zijn dat ze de zwakste schakel zijn als het op Bescherming van Persoonsgegevens aankomt. Hoe vaak is er in het verleden niet een mail de deur uitgegaan naar tientallen afzenders tegelijk. Afzenders die in de CC stonden en niet in de BCC.

Hoeveel organisaties zijn vooral bezig heel veel data aan de voorkant van het proces binnen te halen. Zonder de veiligheid aan de achterkant van het proces in het oog te houden. Dit laatste is natuurlijk deels op te lossen met systemen. Maar vooral met de attitude en risk-appetite van medewerkers.

En dan gaat het onverhoopt toch mis

Een datalek moet u binnen 72 uur bij de Autoriteit Persoonsgegevens melden. Maar dan bent u er nog niet. U zult ook aan moeten tonen welke beheersmaatregelen u heeft getroffen om een datalek te voorkomen (100% voorkomen is helaas niet mogelijk). Dan kunt u maar beter een goed verhaal hebben.

Want zoals al aangegeven in het artikel van Ruben Veenhuysen, de boetes zijn niet mals: 4% van de jaaromzet met een maximum van € 20 mln. Er zijn organisaties die dat niet kunnen dragen. Met alle gevolgen van dien.

Hopelijk staat Bescherming van Persoonsgegevens nu wel hoog op de agenda

Dan is de eerste stap gezet en heb ik mijn eerste doel bereikt. Het tweede doel is vanzelfsprekend er voor zorgen dat de organisatie waar u toezicht houdt kan aantonen dat ze AVG compliant is vanaf 25 mei 2018. Met de nadruk op vanaf. Want per 25 mei 2018 voldoen aan de verordening wil niet zeggen dat u er bent.

Nieuwe medewerkers, nieuwe systemen, jurisprudentie, etc. zorgen ervoor dat er continu aandacht besteed moet worden aan het compliant zijn.

Om dat te bereiken -weet u nu- is er veel werk aan de winkel. In mijn volgende artikel zal ik u enkele suggesties doen die de organisatie waar u toezicht op houdt verder gaat helpen. Wellicht is een eerste stap binnen uw raad om een ICT commissaris te overwegen.