Paniekvoetbal; ben ik te laat met AVG?
Paniekvoetbal; ben ik te laat met AVG?

Paniekvoetbal; ben ik te laat met AVG?

Paniekvoetbal; ben ik te laat met AVG?

De Algemene verordening gegevensbescherming (AVG) is inmiddels meer dan een maand volledig van kracht. Veel organisaties worstelen nog met de invulling. Gezien het lopende WK schiet er ook een andere sportvergelijking door mijn hoofd. Veel bedrijven spelen paniekvoetbal of parkeren de bus. Wat kunt u nu nog doen?

Tegen de verwachting in merk ik op dat vragen vanuit klanten en partners niet of nauwelijks veranderen. Vragen als: wat is het, geldt het voor mij en moet ik veel doen en wat moet ik dan doen? De ene organisatie is al ver in het proces terwijl andere organisaties net starten. Uit onderzoek blijkt dat veel Nederlandse organisaties nog niet klaar zijn. Hoe zit het bij uw organisatie? Nog niet helemaal klaar of moet u nog beginnen? Het advies is even simpel als verraderlijk: start gewoon. Focus op de plekken waar uw organisatie het meeste risico loopt.

Wat is de AVG?

De AVG vraagt van organisaties om op een correcte manier om te gaan met persoonsgegevens van anderen. Een belangrijk gegeven in een steeds verder digitaliserende wereld waarin privacy belangrijk is. Zo goed als elke organisatie werkt met persoonsgegevens. Het is goed dat dat op een transparante manier plaatsvindt. Bedrijven als Microsoft hebben om die reden aangekondigd de regels zelfs buiten Europa toe te passen. Volgens het Amerikaanse bedrijf is privacy een fundamenteel mensenrecht. De AVG beschermt die privacy op een effectieve manier.

Voor wie?

Het antwoord op deze vraag is relatief simpel: voor iedereen. Zowel de lokale slager als multinationals moeten zich aan de regels houden. Elke organisatie die te maken heeft met een vorm van persoonsgegevens valt onder de wetgeving. Dat gaat dus ook over organisaties die telefonische of digitale bestellingen op naam opnemen of mails versturen aan een klantenbestand.

Hoe voldoet u aan de AVG?

Deze vraag is minder eenvoudig dan de vorige vragen. Want wanneer voldoet een organisatie wel of niet? Er zijn certificeringen en codes of conduct in de maak maar de nadruk ligt voorlopig op in de maak. Organisaties moeten het voor nu doen met lessen uit de praktijk en toekomstige jurisprudentie gaat meer inzicht geven in de naleving.

De Autoriteit Persoonsgegevens deelt naast artikelen over de wet ook goede inzichten via hun pagina over AVG. Iets meer dan een jaar geleden doorliep ik de basistappen van een AVG -ready bedrijf. De basis is het identificeren, beheren en beveiligen van de date en er gedetailleerd over te kunnen rapporteren. Dat start bij het nadenken over de beschikbare data. Waarom heeft mijn organisatie die data? Heb ik die data echt nodig en hoe ga ik ermee om? Wanneer u dat duidelijk heeft bent u al goed op weg.

Nog niet gestart? Begin op hoge risico plekken

Staat uw organisatie nog aan het begin? Start dan met de meest risicovolle plekken in uw organisatie. Waar is het risico het hoogst dat er iets misgaat met de gegevens van betrokkenen? Werk vanaf die plek toe naar andere zaken. Let goed op wat de AVG noemt als bijzondere persoonsgegevens. Geen enkele organisatie wil in het nieuws komen met een datalek, al helemaal niet als het om gevoelige persoonsgegevens gaat. Komt uw organisatie er zelf niet uit? Vraag dan om hulp van een partner.

Maak gebruik van al beschikbare tools

Kijk goed naar bestaande tools. Deze kunnen het uw organisatie een stuk eenvoudiger maken. Veel s