We zijn ongeveer een jaar onderweg met de AVG. Correctie: we zijn ongeveer drie jaar onderweg met de AVG. De wet trad namelijk al in werking op 24 mei 2016. Vanaf die dag hebben organisaties twee jaar de tijd gekregen om hun processen en systemen in overeenstemming met de AVG te brengen. Steek je hand op als het jouw organisatie is gelukt. Niemand?

Oké, steek dan je hand op als jouw organisatie nú voldoet aan de AVG. Bij de tweede oproep gaan voorzichtig wat handen omhoog. Als ik doorvraag, blijkt in veel gevallen dat ‘voldoen aan’ inhoudt dat de verplichte documentatie aanwezig is en dat er ‘iets’ aan bewustwording is gedaan – licht gepropageerde papieren tijgers. De toepassing en verankering van gegevensbescherming in processen en systemen blijkt nog een brug te ver.

Moeilijk

Is de toepassing van de AVG dan zo moeilijk? Ja, maar…

Ja:

• Het vergt een enorm diepgaand inzicht in je organisatie om het totaaloverzicht te krijgen.
• Er is gebundelde kennis en coördinatie op organisatorisch, IT en juridisch gebied voor nodig.
• Softwareleveranciers ondersteunen een goede toepassing van de AVG nog onvoldoende (privacy by design/default).
• De grootste uitdaging is het veranderen van cultuur en gedrag.

Maar:

• De vereisten uit de AVG verschillen verrassend weinig van die uit de Wbp, die al 19 jaar oud is.
• Diepgaand inzicht en overzicht met betrekking tot organisatieprocessen had er al moeten zijn. Enerzijds om de organisatie goed aan te sturen, anderzijds om efficiënt en effectief te voldoen aan andere (verantwoordings)plichten.
• Met een goede basisset maatregelen kunnen aanvullende maatregelen gericht en risicogericht genomen worden.
• Werknemers zijn bereid om mee te werken als ze beter begrijpen wat de risico’s zijn.

Doen

Veelgehoorde bedenkingen bij verdere investering in AVG-compliance zijn: “hier hebben we geen budget (meer) voor”; wel budget, maar in de praktijk geen tijd; “om de Autoriteit Persoonsgegevens hoeven we ons voorlopig geen zorgen te maken”; of “de meeste overheidsinstanties zijn zelf ook niet klaar voor de AVG”.

Ondanks dat dit reële punten zijn, kun je het niet verkopen aan cliënten, patiënten, autoriteiten en jezelf dat je niet je best hebt gedaan om persoonsgegevens te beschermen. Met andere woorden: er zijn geen gerechtvaardigde belangen om niet aan de AVG te voldoen. Zorg ervoor dat je dit niet the hard way leert. Een eventuele boete is naar, maar de mogelijke gevolgen van reputatieschade zijn niet te overzien.

Ga daarom voor de eindsprint en geef een positieve impuls aan je AVG-implementatie. Als je dit goed doet, geeft dit ongekend veel overzicht, en daarmee controle, over je organisatieprocessen. Neem hiervoor de tijd die nodig is. Sta stil, denk (samen) na, leg vast, pas toe.

En onthoud: de AVG vraagt geen rare dingen van je, maar vraagt je juist om geen rare dingen te doen met persoonsgegevens.

Jurgen Limberg RA CISA CIPP-E
Senior Consultant BAS Consultancy en FG bij meerdere organisaties

Deze blog is gepubliceerd op Skipr.nl.