Weekly News

Brenno de Winter VEILIGHEID

De AVG maakt korte metten met oud denken

Het spannende van de gegevensverordening is niet wat er moet gebeuren, maar dat we anders naar informatie gaan kijken. Het is een manier van denken waarbij niet de organisatie maar de mens centraal staat.

Wanneer bij een training of bij een klant een beetje begint te dagen wat er moet gebeuren om klaar te zijn voor de AVG klinkt het vaak ‘Wat een gedoe. Ik heb toch niets te verbergen?’. Die manier van denken herbergt twee problemen die een succes in de weg staan. 


Huis op orde

Om te beginnen zijn heel veel zaken in de gegevensverordening niet nieuw. Om persoonsgegevens te mogen verwerken moet men sinds 1995 al kunnen zeggen waarom de gegevens worden verwerkt. Vervolgens mag dat alleen maar voor dat doel en mogen gegevens niet langer dan noodzakelijk bewaard worden. Daarbij moeten we ook een geldige reden hebben of toestemming regelen.


Ook de plicht tot het beveiligen van die gegevens is niet nieuw. De plicht om een lek te melden bij de Autoriteit Persoonsgegevens (AP) hebben we ook al twee jaar. Dit soort zaken zijn niet goed in te regelen zonder te weten welke persoonsgegevens worden verwerkt. We moeten persoonsgegevens identificeren om de digitale huishouding op orde te brengen.  


Achterstallig onderhoud

De pijn die veel organisaties voelen, gaat dan over meer dan nieuwe regels die er komen. Er is veel achterstallig onderhoud. De Wet bescherming persoonsgegevens wordt nu met de voeten getreden, omdat de pakkans laag was en een onderzoek van de AP tussen de twee en drie manjaar in beslag kan nemen. 


De Algemene Verordening Gegevensbescherming (AVG) verplicht ons nu wel te voldoen en dat te kunnen aantonen. De bevoegdheid om in te grijpen in de bedrijfsvoering via een dwangsom en de dreiging van een boete verandert de risico’s. Nu er wel naar de verplichtingen wordt gekeken, blijkt er veel werk aan de winkel omdat administraties al jaren niet voldoen.


Geen absoluut eigendom

Het eerdergenoemde uitvlucht ‘ik heb toch niets te verbergen’ illustreert deze pijn. De boodschap is dan ook een ‘wat een gezeur waar maken we ons druk om’. Natuurlijk kun je wijzen op het misbruiken van gegevens na een hack met alle criminaliteit van dien, oneerlijk zakendoen door niet te vertellen wat het echte plan met de data is of mensen de mogelijkheid sturing aan het eigen leven te geven af te pakken, inzet van gegevens op een manier die de betrokkene (de persoon om wie het gaat) nooit heeft voorzien en daarmee illegaal bezig te zijn. 


Maar in de kern verbergt de opmerking iets anders. Eigenlijk is de boodschap ‘wat zeurt die ander nou? Ik ben toch de baas over de data’? De AVG maakt duidelijk dat die blik niet meer kan. De betrokkene mag in veel gevallen bepalen wat er wel of niet met zijn persoonsgegevens gebeurt. Een organisatie heeft niet het recht om alles maar te doen. Er is een stilzwijgende vergunning hebben, een ‘license to operate’. Net als bij een automobilist, schipper of andere zaken moet dat snel te tonen zijn op verzoek. 


Het verwerken van persoonsgegevens tast belangen van mensen aan en daar horen we als goed huisvader mee om te springen. De hele exercitie is ook niet alleen maar hoofdpijn. Bijkomend voordeel is dat we eindelijk een betere regie krijgen over welke data we in huis hebben, hoe het met de beveiliging staat en waar gegevens heen gaan. Het is dan ook een kwaliteitsslag en die willen we niet missen!


Brenno de Winter

Delen

Journalist

Related articles