En voor je het weet is het 2019. Heb je heel 2018 gewerkt om een privacybeleid op te stellen, DPIA’s uit te voeren, procedures datalekken en procedures voor rechten van betrokkene te schrijven, wordt er gezegd dat het allemaal mee lijkt te vallen. Het Financieel Dagblad heeft afgelopen week een artikel gepubliceerd met de pakkende titel “Angst voor privacywet AVG blijkt ongegrond”.

Privacyexperts reppen over nieuwbakken consultants die vooral angst inboezemden. Deels terecht. Een andere benadering is dat bij het gros van de organisaties privacy, in het bijzonder de omgang met persoonsgegevens, nauwelijks op de agenda stond en er daarom veel behoefte was aan ondersteuning.

Als we nu concluderen dat de soep minder heet wordt gegeten dan ie werd opgediend, is dat dan terecht? Is de wetgeving dan toch niet zo nodig als werd beweerd? Of zit het wellicht in de motivatie die dan gegeven zou worden – al dan niet door die consultant – voor het moeten gaan voldoen aan de wet: boetes, sancties, zoveel procent van je wereldwijde omzet… Is een logische redenering dan dat het mogelijk krijgen van een boete de voornaamste motivatie was voor het voldoen aan een wet? Tuurlijk, ik ben ook ondernemer (en auditor…) en boetes en sancties zijn een goede motivatie om netjes 140 km/u te rijden als je 130 km/u mag. Maar ik vind wél dat mijn medewerkers hun werk moeten kunnen uitvoeren met de gedachte dat wij als organisatie op de achtergrond zorgvuldig met hun persoonsgegevens omgaan. Omdat dit zo hoort, niet vanwege de sancties. Net zoals ik daarop wil vertrouwen bij mijn gemeente, mijn telefoonprovider, mijn energiemaatschappij, de basisschool van mijn kinderen, mijn arts…. Facebook, Google en allerlei webwinkels…

De AVG gaat niet over vertrouwen; die gaat over controle en wel gebaseerd op zorgvuldige risicoafwegingen. En over het teruggeven van controle, zodat je als individu kunt ingrijpen als je niet kunt steunen op vertrouwen. Dat was broodnodig, want in de voorbije jaren waren we het belang van verantwoorde omgang met persoonsgegevens een beetje uit het oog verloren. Juist dat, dat zou de reden moeten zijn om aan de AVG te voldoen. Al die organisaties, overheid, retail, banken, zorg, welke sector dan ook, die beseften dat ze niet voldeden aan de AVG. Sterker nog, impliciet beseften ze dat ze niet voldeden aan de Wbp. Daarom waren er tegelijkertijd zo veel consultants nodig, om die achterstand in te halen.

Zoals ik het zie, is er in 2017/2018 ontzettend hard gewerkt om de basis op orde te krijgen. Al die formaliteiten die benoemd zijn in de AVG, zijn nu wel op poten gezet. In ieder geval twee concepten uit de wetgeving zijn echter niet af te vinken, privacy-by-design en privacy-by-default. Die concepten dienen diepgeworteld te zitten in het DNA van een organisatie, wil je kunnen zeggen dat deze geïmplementeerd zijn. Het heeft te maken met de volwassenheid van je (privacy)organisatie. En dat brengt me terug bij de basis op orde. Het is prima om een beleid te hebben opgesteld, een register afgevinkt te hebben en procedures in de kast te hebben liggen. Dat is niveau 1, nog sterker neergezet simpelweg ‘hygiëne’. Een organisatie die ook klaar is om na te denken over by-designen by-default, heeft een hoger volwassenheidsniveau nodig. Dan wordt niet meer over de AVG gesproken maar over het inherent verantwoord omgaan met de persoonsgegevens van mensen die het bestaansrecht van een organisatie vormen bij mooie dienstverlening. Het FD had ergens gelijk, meer bewustwording is zeker de belangrijkste opbrengst. Maar wat ik miste was de boodschap om met dat draagvlak nu door te pakken, anders is het zonde van al dat harde werk! Verankeren van privacybeleid in de organisatie, commerciële proposities met privacy-by-design als leidraad, niet meer denken in termen van mag wel/niet maar benutten van de eindeloze mogelijkheden die by-design mogelijk zijn.

Wij geloven in het nut en de noodzaak van een verantwoorde omgang met (persoons)gegevens. Wij zijn klaar voor die volgende stap! Mocht je willen sparren over dit onderwerp dan nodigen wij je graag uit om contact met ons op te nemen via info@cuccibu.nl of +31 (0) 85 303 29 84

Tim Florack
Cuccibu – Reduce Risk, Create Value.