Bijna klaar met je businessplan 2018? Vergeet de AVG/GDPR niet!

Het einde van het jaar komt rap dichterbij. Veel organisaties zijn daarom druk bezig om in de laatste weken van 2017 maximale focus te leggen op het binnenhalen van die ene opdracht, of juist het opleveren ervan. De plannen van 2017 moeten namelijk wel gehaald worden, of nog beter – er overheen. Maar het is ook de tijd van het voorbereiden voor de plannen van 2018.

De plannen van 2018 zullen wellicht niet veel verschillen van 2017. Vaak gaat het om hogere (financiële) doelen, de verdere optimalisatie van bepaalde processen en misschien focus op andere klantgroepen. Eén onderdeel zal voor veel organisaties met stip nieuw zijn en hoog op de agenda staan: de invoering van de nieuwe privacywetgeving. Met de komst van de AVG (Algemene Verordening Gegevensbescherming, in het Engels GDPR, General Data Protection Regulation) per 25 mei 2018 is er voor héél veel organisaties nog héél veel werk te verzetten. Sommige organisaties zijn al druk bezig en hebben de resterende maanden nog nodig om het volledig te implementeren. Anderen hebben nog geen idee wat er moeten gebeuren en bezoeken nog volop evenementen om te horen waar de AVG nu eigenlijk over gaat.

Bewustwording

Bij de vele seminars en webinars die momenteel worden georganiseerd krijg ik vaak de vraag: “Wat moeten wij nu eigenlijk doen?” of “Wij verwerken geen persoonsgegevens dus voor ons is het niet van toepassing.” En dat verbaast mij: de AVG is al 1,5 jaar geleden aangekondigd, dus waarom is er bij sommigen nog steeds weinig bekendheid met het onderwerp? Wellicht omdat de Autoriteit Persoonsgegevens er weinig aandacht aan heeft gegeven of omdat de media het matig oppikt (want privacy ≠ sexy).

Dat is wel enorm jammer want de wetgeving rondom onze privacy heeft voor ons als individuen grote voordelen. Bijvoorbeeld het recht om in te zien wat een organisatie over je heeft opgeslagen, en waarom ze dat doen. Of het recht om je persoonsgegevens mee te nemen naar een andere partij zodat je niet steeds je eigen persoonsgegevens hoeft over te dragen (dataportabiliteit). En zo zijn er nog veel meer zaken die de wet heel goed regelt. Kortom, redenen genoeg om wel heel enthousiast te worden over de AVG.

Zodra mensen de voordelen van de wet zien voor hun privésituatie ontstaat er een soort van magische bewustwording richting het zakelijke domein. Want je kunt alleen maar gebruiken maken van je privérechten als organisaties hun processen rondom data privacy op orde hebben. Dus wil ik gebruik maken van die rechten, dan is het ook niet meer dan logisch dat de organisatie waar ik voor werk zich hier ook voor inzet. Pas dan kunnen wij als individu overal onze rechten uitoefenen.

Verdiep jezelf in de AVG

Het is wellicht een goed idee om eens wat tijd te besteden om de wet te lezen. Start bijvoorbeeld eens met het hoofdstuk over de rechten van betrokkenen, artikelen 12 tot 22 en bekijk wat deze voor jou als individu gaan betekenen. Je hebt dus het recht op transparante informatie over de gegevens die van jou zijn vastgelegd, je mag deze inzien, (laten) wijzigen, verwijderen of vragen deze over te dragen. En denk je dan eens in wat dit concreet gaat betekenen voor de organisatie waar je werkt. Een simpel voorbeeld is het recht van inzage. Als iemand wil inzien wat je als organisatie allemaal hebt opgeslagen over hem/haar, dan moet je wel weten wat je hebt opgeslagen, waar dit is opgeslagen en waarom. Voor de beantwoording van een dergelijk verzoek heb je maar enkele weken de tijd. Je moet dus een procedure hebben om dit goed af te handelen. Want bij één aanvraag gaat dat nog wel, maar als het er meerdere worden en de persoonsgegevens in verschillende ‘verwerkingen’ zitten, kan het de organisatie goed dwars zitten.

Gewoon beginnen!

Mijn advies is dan ook: begin vandaag, als je nog niet bent begonnen. Want met nog maar zes maanden te gaan is er veel werk te verzetten. Stel een projectteam samen met personen vanuit alle afdelingen: persoonsgegevens zijn immers overal aanwezig. Breng vervolgens in kaart welke  persoonsgegevens je verwerkt en classificeer de gegevens. In welke systemen slaan we dit op, in welke processen worden ze gebruikt, welke mensen hebben toegang en hoe lang worden de gegevens bewaard. Stel jezelf ook de vraag of alle  persoonsgegevens die je bewaart wel nodig zijn… En ontwikkel procedures om vragen van betrokkenen op te kunnen volgen. Als je deze stappen uitvoert, heb je een goede start gemaakt en kun je je gaan richten op het vervolg.

Succes!