Privacycolumn - Vijf jaar AVG

Het eerste AVG-lustrum ligt net achter ons. Een mooie gelegenheid voor vijf AVG-uitsmijters.

1. Zo’n register… daar heb je eigenlijk vrij weinig aan (maar laten we het wel houden)
Als je persoonsgegevens verwerkt, moet je dat vastleggen in een register. Dat register moet een volledige en accurate weergave zijn van alles wat je met persoonsgegevens doet. Zeker bij grotere organisaties of organisaties met veel verschillende soorten gegevensverwerkingen blijkt dat geen sinecure. Technologische en organisatorische ontwikkelingen gaan vaak sneller dan het register bij te houden is. Maar, gooi dat register nou niet meteen weg. Want hoe dan ook – je houdt wel grip op je verwerkingen en daardoor blijft privacy ook leven in de organisatie (want ja, eens in de zoveel tijd vraag je mensen weer dat register te updaten).

2. Het recht op dataportabiliteit gebruikt niemand (en wat heeft het in vredesnaam met privacy te maken?)
Vijf jaar geleden werden er verhitte discussies gevoerd over de reikwijdte van ‘het recht op dataportabiliteit’. Wat moeten organisaties nu wel en wat moeten ze nu niet opleveren? Hoe dan ook, inmiddels worden er maar weinig mensen nog echt warm van. In de afgelopen vijf jaar heb ik bij drie verschillende organisaties gewerkt waar nog nooit iemand van dat recht gebruik heeft gemaakt. En trouwens, wat heeft het eigenlijk nog met privacy te maken dat je lijstjes met muzieknummers van de ene dienst naar de andere kan laten overhevelen?

3. Pleitbezorgen is verleden tijd (maar nog steeds niet iedereen heeft zin in privacy)
Dat heeft die AVG toch maar mooi voor elkaar gekregen. Zelden tot nooit kom ik nog ergens waar ik eerst moet beginnen met dat het toch echt heel belangrijk is die privacy. Wat niet wil zeggen dat iedereen het nou een leuk onderwerp is gaan vinden, nog steeds kom ik mensen tegen die graag willen dat een datalekmelding ingetrokken wordt omdat het hen ‘niet uitkomt’ en ze vinden ‘dat het toch echt geen datalek is’. Zie ook: Googleisme.

4. Na vijf jaar implementeren we ons nog steeds rot (en dat is prima)
De AVG-implementatieprogramma’s hebben we achter ons gelaten. Maar nog steeds implementeren we ons rot. En dat is heel logisch ook. Soms komt er nieuw beleid of nieuwe technologie en mogen we weer aan de bak. En ook audits en self-assessments laten nog wel eens een gaatje zien wat gedicht moet worden. Helemaal niet erg, privacy moet immers doorlopend onder de aandacht blijven, ook hier: Plan-Do-Check-Act.

5. Googleisme is een ziekte (mag het dood?)
Voor mij een kleine ergernis, maar helaas een feit des levens. De AVG heeft zoveel mensen privacybewust gemaakt, dat iedereen denkt er veel verstand van te hebben. Vooral als je een advies of mitigerende maatregelen meegeeft die wat voeten in de aarde hebben (en dat komt natuurlijk zo nu en dan ook omdat er wat aan de late kant bij privacyspecialisten werd aangeklopt). Men slaat Google er eens op na en vertelt dan doodleuk dat je het enorm mis hebt. Ik glimlach dan eens. Leg netjes uit dat ze het echt behoorlijk fout zien. En denk dan met een inwendige zucht: ‘zouden dit soort mensen nou ook aan de dokter uitleggen dat zij even gegoogeld hebben en beter weten wat hen mankeert?’

Rachel Marbus
@RACHELMARBUS op Twitter

Deze column verscheen in iB4-2023.