De nieuwe privacywet als aanjager voor een betere dienstverlening

Veel organisaties zijn niet klaar voor de nieuwe privacywet (AVG). Sommigen ervaren de wet misschien zelfs als last. Maar wat als de nieuwe wet een kans zou zijn om de dienstverlening te verbeteren?

Op 25 mei 2018 gaat de nieuwe privacywet van kracht, de Algemene Verordening Gegevensbescherming (AVG). Wie Europees staatsburger is krijgt vanaf die datum meer privacyrechten. Straks kun je bij een organisatie aankloppen en vragen welke gegevens ze van je hebben, wat ze hiermee doen en hoelang ze van plan zijn om deze te bewaren. Dit wordt ook wel het recht op inzage genoemd en is slechts één van de regels waar organisaties straks aan moeten voldoen.

Iedere organisatie moet zich aan de nieuwe regels houden. Zodra je persoonsgegevens opslaat en verwerkt in een applicatie of systeem, moet je organisatie precies kunnen vertellen wat je moet doen. En dat doe je al snel, want welke organisatie gebruikt geen software voor het opslaan van klantgegevens of het verwerken van inkoop- en factuurgegevens?

Aan het begrip persoonsgegeven zit je ook vrij snel. Volgens ICTRecht is een persoonsgegeven ‘ieder gegeven wat herleidbaar is naar een natuurlijk persoon’. Denk aan je NAW-gegevens en je IP-adres. Maar denk ook aan gegevens over je ras, godsdienst, politieke voorkeur of gezondheid. Dit worden ook wel ‘bijzondere persoonsgegevens’ genoemd. Organisaties die die laatste gegevens verwerken hebben onder de nieuwe wet te maken met striktere regels, zoals extra registerplichten en extra controles door een privacy-toezichthouder.

Meldplicht Datalekken

Naast het uitvoerig in kaart brengen blijft de Meldplicht Datalekken van kracht. Op het moment dat er sprake is van een datalek (een kwetsbaarheid waardoor persoonsgegevens op straat komen te liggen), moeten organisaties aangifte doen bij de Persoonsgegevens binnen 72 uur na melding.

Doen ze dit niet? Dan riskeren ze een boete van maximaal 810.000 euro. Afhankelijk van de ernst van de situatie, is het vaak ook nodig om klanten te informeren over het lek. Naast de flinke boete loop je het risico op imago- en reputatieschade.

Organisaties nog niet klaar

In de media lees je berichten over organisaties die moeite hebben om zich klaar te maken voor de nieuwe wet. In veel gevallen is dit te verklaren. De complexiteit van IT is de laatste jaren ontzettend toegenomen.

Het is verre van eenvoudig om in één overzicht te zien welke persoonsgegevens er allemaal binnen een organisatie worden verwerkt en met welke software deze vervolgens worden verwerkt. In de meeste organisaties wordt IT niet eens centraal ingekocht. Als de marketingafdeling een nieuwe applicatie nodig heeft om klantgegevens op te slaan, dan gebeurt dit vaak zonder de raad van een interne IT-specialist. Meestal gaat het om een cloudapplicatie. Shadow IT noem je dit dan: IT die wel gebruikt wordt maar waar de IT-afdeling niet vanaf weet.

De koppen bij elkaar steken

Waar moet je dan beginnen als organisatie? Voor het antwoord op die vraag heeft de Autoriteit Persoonsgegevens een handig stappenplan gemaakt (bron).

Een van de belangrijkste eerste stappen is bewustwording. Besluitvormers en managers zullen de koppen bij elkaar moeten stekken en beseffen dat de AVG een organisatiebreed onderwerp is. Van IT tot marketing, van administratie tot verkoop. Vrijwel iedere afdeling gebruikt z’n software of handige apps om werk gedaan te krijgen. Soms kan het zo simpel zijn als een Google Drive bestand met leveranciersgegevens die elk jaar een kerstkaart van het bedrijf ontvangen.

Vervolgens heeft iedere organisatie een registerplicht. In een register moeten organisaties bijhouden welke gegevens zij verwerken, met welk doel zij dit doen, waar deze gegevens vandaan komen en met wie ze worden gedeeld. Bij ICTRecht vind je meer informatie over het opstellen van zo’n register.

De moeite waard

Voor sommige organisaties wordt het een flinke uitdaging om AVG-ready te zijn in mei. Toch is die nieuwe wet zo gek nog niet. Ja, voor veel organisaties is het een complexe en tijdrovende exercitie.

Maar we leven immers in een hyperconnected wereld waar gegevens binnen milliseconden worden verschoven tussen systeem a, b en c. Een wereld die iedere dag een beetje meer moet waken voor digitaal gevaar. Een wereld waar organisaties een grote rol hebben en waar ze het verschil kunnen betekenen. De moeite waard? Ik denk het wel.

Bron afbeelding: Pixabay

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *