AVG – van wet naar praktische uitvoering

Vrijwel iedere organisatie heeft ermee te maken, de Algemene Verordening Gegevensbescherming (AVG). Als je nu nog je wenkbrauwen fronst en je afvraagt of dit ook voor jouw organisatie geldt, dan is er werk aan de winkel. De Europese richtlijn ter bescherming van persoonsgegevens gaat in op 25 mei 2018.

Twee jaar hebben organisaties de tijd gehad om zich voor te bereiden op de invoering van de AVG. In die periode zijn ook vele organisaties hiermee gestart, maar ook veel bedrijven zijn pas veel later de race tegen de klok gestart. In het bijzonder organisaties die eerder nog niet zo bewust waren van hun verantwoordelijkheid in het beschermen van persoonsgegevens.

Interpretatie van regelgeving

In de praktijk blijkt dat de wetgever in het opstellen van de richtlijnen wat ambiguïteit heeft ingebakken. Net zoals met veel andere nieuwe wetgeving is de jurisprudentie die eruit voortvloeit de echte praktijkervaring; en deze is er nog niet. Dat maakt het voor organisaties best lastig een goede vertaling te maken van wat de wetgever bedoelt en hier dan ook in de praktijk aan te voldoen.

Gap analyse

Een goede start is de gap analyse. Wat hebben we, wat zijn de nieuwe richtlijnen en waar voldoen we wel, deels of niet aan? Op basis van deze analyse ga je kijken, risico gebaseerd, welke gebieden als eerste moeten worden aangepakt en welke maatregelen voorwaardelijk zijn om andere te kunnen implementeren. Denk bijvoorbeeld aan ‘identity access management’, hiervoor is het wel nodig dat rollen eerst gedefinieerd zijn op basis van onder meer doelmatigheid criteria. En zo ontstaat een kapstok aan activiteiten en maatregelen die getroffen moeten worden om uiteindelijk AVG compliant te worden.

Toepassing in letter en geest

De kunst bij het toepassen van de AVG is praktisch te blijven en wel in de goede zin van het woord. Voor het eerdergenoemde ‘identity access management’ kunnen volledig geautomatiseerde systemen worden geïmplementeerd waardoor (centraal) alle toegang is vastgelegd en beheerd. Maar het is ook mogelijk samen met de decentrale functioneel beheerders een werkwijze af te spreken hoe om te gaan met toegangsverzoeken en deze decentraal maar wel toetsbaar en herleidbaar vast te leggen. Vermijd de gelegenheidsoplossing; ook al is de gekozen maatregel niet geautomatiseerd, het onderliggende (handmatige) proces moet wel solide zijn. Maatregelen die wel ten minimale naar de letter maar niet naar de geest van de wetgeving zijn ingevoerd, zullen in de tijd, als ze niet bijgehouden worden, de achilleshiel worden.

Bewustwording en gedrag

Uiteindelijk weten we allemaal dat de wet & regelgeving op het gebied van persoonsgegevens verder zal intensiveren; nieuwe Europese privacy wetgeving is al in volle maak. Om die reden is het uitermate belangrijk veel aandacht te besteden aan bewustwording bij medewerkers wat het betekent om te gaan met persoonsgegevens. Ook maatschappelijk worden consumenten en burgers zich steeds meer bewust van hun rechten en zullen deze ook gaan opeisen. We horen al steeds minder dat ‘ik niets te verbergen heb’, totdat iemand er met jouw digitale identiteit vandoor gaat.

De invoering van de AVG is in die zin ook, naast een technische exercitie, een verandering in het gedrag van mensen. Als je nu nog niet begrijpt dat jouw persoonlijke schaduw-administratie op de gemeenschappelijke schijf van de server een inbreuk is op de wet, dan helpt verdere automatisering eromheen daar weinig aan.

Ik vergelijk de AVG met het dragen van de autogordel; tot ver in de jaren negentig van de vorige eeuw was het dragen van een autogordel geen nationaal gebruik. Zeker achterin niet. Mensen vonden het betuttelend en wantrouwend naar de rijvaardigheden van de chauffeur. En de risico’s vielen wel mee, toch? Vandaag de dag kunnen we ons weinig meer voorstellen bij zulk risicovol gedrag.

En zo is het ook bij het omgaan met persoonsgegevens. Langzamerhand worden we maatschappelijk bewust van de risico’s die kunnen ontstaan bij verkeerd gebruik of misbruik van persoonsgegevens.

In het maken van een vertaling van wetgeving naar de praktijk is het noodzakelijk de gedragscomponent hierin te betrekken. Dit werkt het beste door het gewenste gedrag expliciet te maken (wat zie ik iemand dan doen?) en medewerkers verantwoordelijk te maken voor het gezamenlijk opstellen van AVG maatregelen onder begeleiding van inhoudelijke – en implementatie specialisten. Opleggen van maatregelen heeft doorgaans een kortdurend effect en kost (te) veel tijd en energie om in stand te houden.

Het opstellen van maatregelen die door medewerkers zelf zijn bedacht, duurt doorgaans wat langer, maar de duurzaamheid ervan is vele malen beter. De verantwoordelijke functionaris voor gegevensbescherming toetst of de bedachte maatregelen de hygiëne toets van de AVG doorstaan en ook in de geest hiervan passen. Dit doorbreekt ook het patroon dat AVG het ‘feestje’ is van security en risk management.

Tot slot

Bij het schrijven van deze blog zijn vele organisaties nog lang niet AVG compliant op 25 mei 2018. Daar zijn vele redenen voor. Een aantal zijn hierboven kort benoemd: interpretatie van regelgeving, mate van automatisering en gedrag van medewerkers.

Hoe de Autoriteit Persoonsgegevens gaat handhaven en of de mogelijke sancties ook worden opgelegd, valt nog te bezien. Een ding is zeker, de reputatieschade en publieke ophef is vaak veel belangrijker.

Lees ook onze GDPR whitepaper.