Achter Het Nieuws - ‘Wat heeft de invoering van de AVG ons als redactie gebracht of gekost?’

Door IB5-2021 - Fook Hwa, Chris de Vries 22 dec 2021

In deze rubriek geven enkele iB-redacteuren in een kort stukje hun reactie op recente nieuwsitems over informatiebeveiliging. Dit zijn persoonlijke reacties van de auteurs en deze geven niet noodzakelijkerwijs het officiële standpunt weer van hun werkgever of van PvIB. Vragen en/of opmerkingen kun je sturen naar ibmagazine@pvib.nl.

Iedereen herinnert zich nog wel 25 mei 2018. Het was dé datum, in ons vakgebied ‘een moment’. Er was veel media-aandacht, veel rumoer en veel paniek. Om niets? Het ging vooral om de verzwarende administratieve last en de torenhoge boetes die als een zwaard van Damocles boven de hoofden zou gaan hangen. Er werden vinklijstjes afgewerkt en er werd (en wordt!) ‘wij zijn AVG-compliant’ geroepen. Zoals altijd daalde het stof neer, maar in dit geval niet helemaal. De focus op maatregelen is in verhoogde mate gebleven, de AP wordt (langzaam) volwassen en partijen houden elkaar meer dan ooit scherp.

Onze redactie zit vol experts op het gebied van Informatiebeveiliging & Gegevensbescherming. In deze Privacy special stelt de hoofdredactie hen de vraag ‘Wat heeft de invoering van de AVG jullie gebracht of gekost?’

Kansen en bedreigingen van AVG - Chris de Vries
Iedereen heeft met de Algemene Verordening Gegevensbescherming (AVG) te maken. Van overheid via de ondernemers naar de privé persoon. Het grote verschil is de mate van professionaliteit die wij ervaren bij de betrokkenen. Op de vraag ‘Wat heeft de AVG ons, als redactie, gebracht of gekost?’ kan ik dan ook vanuit mijn ervaring zeggen: ‘menig zweetdruppeltje’.

Het lijkt allemaal zo eenvoudig. Je weet wat je doet, je kent je functie (verwerker of niet?!) en er staan modellen, zoals de Privacy Impact Assessment (PIA), gereed. Een kind kan de was doen. Echter, zo eenvoudig is het niet. De wet kent m.i. een groot gat, t.w. de overdracht van gegevens naar het buitenland om goede (?!) redenen. Het Europees Hof stemde in met overdracht van data naar het Verenigd Koninkrijk (wat gelijkstaat aan overdracht naar de Verenigde Staten), terwijl hetzelfde hof de privé-data overdracht naar de Verenigde Staten blokkeert. Bedreiging 1.
Dan hebben wij te maken met vele verenigingen in Nederland. Goedwillende bestuurders, zelden behept met data-management kwaliteiten. Wat moeten die dan doen met hun verantwoordelijkheid, lees aansprakelijkheid, en hun tekortschietende inzichten alsook onbegrip voor de gebruikte terminologie? Ik ben voor verschillende verenigingen bezig deze ver-van-hunbed show acceptabel te maken en het minimum geregeld te krijgen. Zowel bedreiging 2 als een kans. Al met al, een koppijndossier
waarbij theoretisch alles klopt, maar in de praktijk de koning naakt is.

Grotere bewustwording, of toch niet? - Fook Hwa Tan
Drie jaar AVG heeft zeker privacy of bescherming van persoonsgegevens een boost gegeven. Maar wat heeft het echt opgeleverd? Waar willen we eigenlijk naartoe? In de begin jaren was het nieuws vaak, dat grote boetes je organisatie zouden kunnen treffen als je niet voldeed aan deze nieuwe wet. De toezichthouder was in stelling gebracht en had het mandaat om onderzoek te doen en mogelijk je bedrijfs - voering plat te leggen als je niet goed omging met persoonsgegevens. Over de jaren zijn aantallen boetes gegeven door deze toezichthouder, maar de daadwerkelijk hoge bedragen zijn nog niet gezien.

Ook werd initieel gedacht dat klanten zouden verdwijnen en je mogelijk failliet zou kunnen gaan, indien bekend werd dat je niet voldoende zorgvuldig met persoonsgegevens bent omgegaan. Daar hebben we over de afgelopen periode jammer genoeg of gelukkig ook niet veel van gezien. Dit komt vaak, omdat de klanten of misschien zelfs gebruikers geen keus hebben om naar een andere organisatie te gaan. Als laatste zou deze wet betekenen dat nog meer bureaucratie gecreëerd zou worden om aantoonbaar te maken, dat is voldaan aan adequate omgang met persoonsgegevens. De eerste implementatie drie jaar terug is gedaan om toen te voldoen, maar er zijn genoeg voorbeelden waar het vervolgens niet altijd goed is onderhouden. Of dit goed is of niet, kan ik geen uitspraken over doen.

Wat ik wel had gehoopt, is dat organisaties zich niet alleen bezighouden met privacy door angst, maar dat organisaties inzien hoe belangrijk het is voor eigen personeel of andere stakeholders om zorgvuldig met hun gegevens om te gaan. Laten we hopen, dat de komende drie jaar organisaties zelf de intrinsieke motivatie vinden en het plichtsgevoel krijgen om goed om te gaan met persoonsgegevens! Lees ook het artikel van Nico Mookhoek in deze uitgave. Daarin blikt hij terug op wat de AVG ons heeft gebracht.

Dit artikel verscheen in IB5-2021, de privacy special.
Voor het opgemaakte artikel, klik hier onder op 'Document downloaden'.