Paniekvoetbal; ben ik te laat met AVG?
De Algemene verordening gegevensbescherming (AVG) is inmiddels meer dan een maand volledig van kracht. Veel organisaties worstelen nog met de invulling. Gezien het lopende WK schiet er ook een andere sportvergelijking door mijn hoofd. Veel bedrijven spelen paniekvoetbal of parkeren de bus. Wat kunt u nu nog doen?
Tegen de verwachting in merk ik op dat vragen vanuit klanten en partners niet of nauwelijks veranderen. Vragen als: wat is het, geldt het voor mij en moet ik veel doen en wat moet ik dan doen? De ene organisatie is al ver in het proces terwijl andere organisaties net starten. Uit onderzoek blijkt dat veel Nederlandse organisaties nog niet klaar zijn. Hoe zit het bij uw organisatie? Nog niet helemaal klaar of moet u nog beginnen? Het advies is even simpel als verraderlijk: start gewoon. Focus op de plekken waar uw organisatie het meeste risico loopt.
Wat is de AVG?
De AVG vraagt van organisaties om op een correcte manier om te gaan met persoonsgegevens van anderen. Een belangrijk gegeven in een steeds verder digitaliserende wereld waarin privacy belangrijk is. Zo goed als elke organisatie werkt met persoonsgegevens. Het is goed dat dat op een transparante manier plaatsvindt. Bedrijven als Microsoft hebben om die reden aangekondigd de regels zelfs buiten Europa toe te passen. Volgens het Amerikaanse bedrijf is privacy een fundamenteel mensenrecht. De AVG beschermt die privacy op een effectieve manier.
Voor wie?
Het antwoord op deze vraag is relatief simpel: voor iedereen. Zowel de lokale slager als multinationals moeten zich aan de regels houden. Elke organisatie die te maken heeft met een vorm van persoonsgegevens valt onder de wetgeving. Dat gaat dus ook over organisaties die telefonische of digitale bestellingen op naam opnemen of mails versturen aan een klantenbestand.
Hoe voldoet u aan de AVG?
Deze vraag is minder eenvoudig dan de vorige vragen. Want wanneer voldoet een organisatie wel of niet? Er zijn certificeringen en codes of conduct in de maak maar de nadruk ligt voorlopig op in de maak. Organisaties moeten het voor nu doen met lessen uit de praktijk en toekomstige jurisprudentie gaat meer inzicht geven in de naleving.
De Autoriteit Persoonsgegevens deelt naast artikelen over de wet ook goede inzichten via hun pagina over AVG. Iets meer dan een jaar geleden doorliep ik de basistappen van een AVG -ready bedrijf. De basis is het identificeren, beheren en beveiligen van de date en er gedetailleerd over te kunnen rapporteren. Dat start bij het nadenken over de beschikbare data. Waarom heeft mijn organisatie die data? Heb ik die data echt nodig en hoe ga ik ermee om? Wanneer u dat duidelijk heeft bent u al goed op weg.
Nog niet gestart? Begin op hoge risico plekken
Staat uw organisatie nog aan het begin? Start dan met de meest risicovolle plekken in uw organisatie. Waar is het risico het hoogst dat er iets misgaat met de gegevens van betrokkenen? Werk vanaf die plek toe naar andere zaken. Let goed op wat de AVG noemt als bijzondere persoonsgegevens. Geen enkele organisatie wil in het nieuws komen met een datalek, al helemaal niet als het om gevoelige persoonsgegevens gaat. Komt uw organisatie er zelf niet uit? Vraag dan om hulp van een partner.
Maak gebruik van al beschikbare tools
Kijk goed naar bestaande tools. Deze kunnen het uw organisatie een stuk eenvoudiger maken. Veel softwareleveranciers zijn al tijden bezig met de AVG en hebben hulpmiddelen in software opgenomen die naleving van de regelgeving makkelijker maakt.
Office 365 zit bijvoorbeeld vol met hulpmiddelen. Het is nu mogelijk gevoelige gegevens zoals BSN-nummers in documenten te detecteren. U wordt er dan op geattendeerd dat dit een bijzonder persoonsgegeven is. Outlook geeft extra meldingen wanneer u documenten buiten de organisatie stuurt. Hiermee voorkomt u mails naar verkeerde externe mailadressen. Niet onbelangrijk want een verstuurde mail met persoonsgegevens die bij een verkeerde ontvanger terechtkomt moet u als datalek rapporteren. Daarnaast is het als kleinere organisatie prima mogelijk om in Excel een verplicht verwerkingsregister bij te houden. De Autoriteit Persoonsgegevens deelt richtlijnen waar dat register aan moet voldoen.
AVG is positief
U hoeft het wiel niet opnieuw uit te vinden. Bent u compliant met de Wet bescherming persoonsgegevens (WBP) dan is er veel overlap met deze nieuwe wet. Ja de AVG levert extra werk op en afhankelijk van het soort persoonsgegevens kan dat een flinke kluif zijn. Toch is mijn advies om het positief te benaderen. Maak het niet te complex. De AVG geeft u de mogelijkheid kritisch naar uw datahuishouding te kijken. Het biedt kansen voor uw organisatie om nog beter te worden.