Door Rion Rijker

Eigenlijk volgen medewerkers de AVG-regels beter dan ze denken

De afgelopen jaren, en nu nog steeds, zijn de meeste organisaties de voordelen van nieuwe technologieën als IoT en Artificial Intelligence aan het ontdekken.

We proberen met z’n allen de toepassingen, procesveranderingen en consequenties te begrijpen. En terwijl we vorig jaar nog middenin de fase van het begrijpen zaten, kwam de AVG ineens de hoek om. Het is dan ook niet voor niets dat veel organisaties en experts vol op dit onderwerp doken. Er waren ineens experts te over, zowel goede als minder goede. Veel bedrijven hebben hun neus gestoten en zijn met vallen en opstaan wijzer geworden. Laten we van deze lessen leren en inzoomen op de vraag: Hoe ga je nu écht slim met de AVG om?

100 procent compliant bestaat niet

Om maar met de deur in huis te vallen: ik geloof niet in 100 procent AVG-compliancy. Ik weet dat veel adviesbureaus het beloven, maar in mijn ogen is dat niet haalbaar. Wel kun je er heel dichtbij komen als je flink investeert. Zorg er ten eerste voor dat je compliant bent in de zaken die echt met je organisatie te maken hebben. Natuurlijk is het belangrijk dat ook je leveranciers en partners AVG-proof zijn, maar dit is niet waar je mee begint. Start dus met het implementeren van technische en organisatorische maatregelen, waarmee je de persoonsgegevens adequaat beschermt. Creëer bijvoorbeeld inzicht in welke persoonsgegevens je verwerkt en waarom je dat doet en ga na welke personen bij welke gegevens kunnen en waarom ze die toegang nodig hebben. Daarna kun je gaan uitbreiden.

Weet wat je kroonjuwelen zijn

Een van de grootste fouten die bedrijven maken is dat ze niet weten wat hun kroonjuwelen zijn. Kijk naar de eerste AVG-boete die in Nederland uitgedeeld werd aan een ziekenhuis dat met patiëntgegevens strooide. Als je een ziekenhuis bent, zijn patiëntgegevens je kroonjuwelen. Als je die niet goed herkent, loop je tegen problemen aan. Dat is gebleken. Bij de AVG-implementatie is er waarschijnlijk van uitgegaan dat iedereen in het ziekenhuis al sinds jaar en dag weet dat er vertrouwelijk met data omgegaan moet worden. Helaas is dit dus niet het geval.

Hang je vuile was niet buiten

Werk je bij een AVG-implementatie van binnen naar buiten of van buiten naar binnen? Dat is een vraag die ik regelmatig krijg. Mijn advies: Zorg ervoor dat je het eerst voldoet aan alle verplichtingen die te maken hebben met de buitenwereld. Denk hierbij aan het inrichten van de rechten van betrokkenen, waarvoor het zoals eerder benoemd nodig is dat je inzicht hebt in welke persoonsgegevens je om welke reden verwerkt. Als iemand inzage wil en je kan dat niet op tijd regelen, is de kans op een klacht groot. Een goede buitenschil schept een veilige barrière voor de binnenkant en hiermee koop je tijd om de zaken intern goed te regelen. Uitgangspunt blijft echter dat je alle redelijkerwijs benodigde maatregelen neemt om de persoonsgegevens adequaat te beschermen. Door je eerst te focussen op de buitenwereld creëer je meer tijd en ruimte om zaken op orde te krijgen.

Laat je niet op stang jagen

Mensen zijn anno 2019 veel sneller geneigd om een klacht bij de Autoriteit Persoonsgegevens in te dienen. Bij 80 procent van de e-mails waarin gevraagd wordt om inzage van de eigen gegevens staat tegenwoordig de vermelding dat als de klant binnen een bepaalde tijd geen antwoord krijgt, deze een klacht indient bij de Autoriteit Persoonsgegevens. Laat je hierdoor niet op stang jagen: je hebt vier weken de tijd om vragen te beantwoorden. Dit kan in sommige gevallen uitgebreid worden.

Onbewust bekwaam

Iets nieuws leren gaat niet vanzelf. En dat geldt ook voor de AVG. Vaak verloopt zo’n leercurve door een viertal fases: van onbewust en onbekwaam tot uiteindelijk onbewust bekwaam. Begrijp daarom dat niet alles tegelijk kan en houd in je achterhoofd dat het een leerproces is en blijft. Toch zie ik op het gebied van AVG ook iets anders; over het algemeen weten mensen vanuit hun onderbuik al wat goed is. Ze zijn onbewust bekwaam én erg gemotiveerd om het goed te doen.

Betrek deze mensen dan ook in het AVG-beleid. Elk radartje in de organisatie is waarschijnlijk al een heel eind op weg, neem ze dan ook mee in die laatste stap. Er zijn al heel wat AVG-projecten gestrand omdat het aspect mens niet werd meegenomen. Wanneer je alle medewerkers erbij betrekt, wordt de AVG pas echt verankerd in de organisatie en blijkt de implementatie veel minder complex te zijn dan het in eerste instantie leek. Dat is pas écht slim omgaan met de AVG.

Rion Rijker was op woensdag 18 september namens ilionx een van de sprekers op het Data Privacy Congres in Den Bosch. Rion is kennispartner van ilionx en werkt met ilionx samen aan verschillende projecten.

Relevante content

Ilionx logo