Column: Blijven ademhalen (beter laat dan nooit) – Mabel de Vries

Tegen de tijd dat deze ChannelConnect bij u op de mat valt, is het begin mei. En voor de tragere lezer wellicht al eind mei. Dus een deel van jullie heeft nog hoop dat je over ongeveer een week of 2-3 aan de Algemene Verordening Gegevensbescherming (AVG) voldoet, terwijl een ander deel van jullie zwetend wakker worden door de deurbel en je de Autoriteit Persoonsgegevens (AP) op de stoep ziet staan.

 

 

Nog wekelijks krijg ik de vraag: “Wat komt er na 25 mei?” Mijn antwoord is nog steeds steevast: “26 mei.” Want laten we nou even helder blijven nadenken. Voor helder nadenken hebben je hersens zuurstof nodig, dus gewoon blijven ademhalen, dat is sowieso een goed plan. Als je op dit moment nog moet beginnen met maatregelen m.b.t. de AVG omdat je het nog niet op orde hebt, heeft het niet zoveel zin meer om je heel druk te maken. Wat je het best kunt doen is gewoon doorademen, nadenken en alsnog een ‘Plan de Campagne’ maken en het project opstarten. Want er is maar één ding erger dan te laat beginnen… en dat is NIET beginnen.

Gelukkig heb ik de laatste maanden met veel organisaties mogen werken die zich terdege bewust zijn van hun situatie, de kwetsbaarheid van hun privacygevoelige informatie en risico’s van non-compliance. En ja… een groot deel zal op 25 mei niet compliant zijn; de publicaties op het internet maken daar geen geheim van, dus ik ook niet. Maar de stappen die ze hebben gezet, zijn in de juiste richting en passend bij de snelheid en draagkracht van hun onderneming aan de ene kant en het willen voldoen aan de AVG aan de andere kant. Het is een soort balanceren op een slap koord. Maar wat opmerkelijk is, is dat er toch nog organisaties zoekende zijn naar de ‘quick en dirty’ fix… het betere pleisterplakwerk zeg maar.

Eerst even een kijkje in een van de taken in mijn rol als Functionaris Gegevensbescherming (FG). De FG is vooral de interne toezichthouder op naleven van de AVG. Denk daarbij aan toezicht op het correct inrichten van de werkprocessen en bijvoorbeeld het toetsen van een nulmeting of Privacy Impact Assessment (PIA) correct wordt uitgevoerd. Een FG is dus geen handhaver, maar zet alles wat mogelijk is in, om erover te waken dat de organisatie niet met handhavers te maken krijgt.

Des te opmerkelijker, dat ik nog (te) vaak een vraag krijg over processen of maatregelen die niet toereikend zijn of die ik op het randje van verstandig acht. De vraag wordt aangevuld met: ”Dat moet toch kunnen!”, waarbij het ineens geen vraag meer is, maar een stelling. En niet zelden verwachten ze van mij dat ik dat goedkeur. Wonderlijk toch zoiets? Het is hetzelfde als een politieagent op een verjaardagsfeestje vragen: “Zeg Piet, je kunt toch ’s nachts best harder dan 130 rijden op de snelwegen… dat ziet toch niemand!??” Wat denk je zelf?

Het is tijd voor een ethische wake-up-call. Het feit dat het niet gezien of ontdekt wordt, betekent toch écht niet dat het oké is. Het compliant zijn met een wet – in dit geval de AVG – moet je niet alleen doen omdat de overheid het van je eist, of omdat je bang bent dat de AP ineens op de stoep staat… Nee, het beveiliging van de privacygevoelige informatie van onze medeburger doe je omdat je dat zelf belangrijk vindt en omdat dat zo hoort.

Mabel G. de Vries is Security Lead Digigurus en Founder/Director XSecutive.
Reageren? mabel@digigurus.net

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 3-2018]

Lees het artikel hier in PDF