AVG een lust of een last?
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing (of General Data Protection Regulation (GDPR)). Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) vervalt hiermee.
Tot zover de verordening. Hierover wordt al genoeg geschreven en menig adviesbureau is met veel enthousiasme op de vragen rondom het thema ingesprongen. Echt duidelijk is het allemaal (nog) niet en de tijd dringt. Want waar loop je tegen aan als je binnen je organisatie invulling wilt geven aan de AVG?
Onduidelijkheden en boetes
Wat om te beginnen opvalt is de diversiteit in de beleving en invulling van de nieuwe privacyregels. Elke “specialist” formuleert een net wat andere invulling, zelfs binnen dezelfde branches. Er wordt ook maar al te graag verwezen naar het belang van een Data Protection Officer, Privacy Officer en Information Security Officer. Als je dan dieper ingaat op de mogelijke invulling van de AVG in je organisatie, roept dat eerder meer vragen op dan dat je antwoorden vindt. Je zou verwachten dat er meer dan voldoende standaard documenten beschikbaar zijn, die een kapstok bieden om je organisatie ‘AVG proof’ te maken, maar helaas is dat niet zo. Er zijn nog genoeg onduidelijkheden aangaande de exacte invulling van de in de verordening opgenomen bepalingen. En dat terwijl er torenhoge boetes uitgedeeld kunnen worden wanneer de toezichthouder meent dat er onvoldoende invulling wordt gegeven aan de verordening. Boetes die kunnen oplopen tot maximaal €20.000.000 of 4% van de wereldwijde jaaromzet van een onderneming!
Grondslagen
Uiteindelijk is iedere organisatie in zekere zin uniek en de invulling van de nieuwe AVG maakt het ook mogelijk om hier een bijpassende invulling (lees; vooral praktische invulling) aan te geven. Feit is wel dat iedere dataverwerking onder de AVG moet voldoen aan minimaal één van de 6 grondslagen. De belangrijkste hiervan zijn toch wel om een overeenkomst te kunnen uitvoeren of om simpelweg aan een wettelijke verplichting te voldoen.
Hoe registeren we klantdata in AVG?
Maar wat betekenen de AVG-grondslagen nu concreet? Zijn wij tot op heden onverantwoord omgegaan met de privacy van onze klanten, medewerkers en leveranciers? Nee natuurlijk niet, maar meer aandacht hiervoor is beslist geen overbodige luxe. We hebben altijd zoveel mogelijk informatie van onze contacten vastgelegd en geïnventariseerd, met goede bedoelingen uiteraard. We hebben alleen nooit planmatig nagedacht over de vraag waarom we deze vastlegging precies doen en waar we deze beschikbare data allemaal voor (willen) gebruiken. Bovendien zijn we niet consequent en leggen we niet van iedereen hetzelfde vast. Bij de ene relatie hebben we verjaardag van man- of vrouwlief wel opgeslagen, zodat we een leuke attentie te kunnen sturen, maar bij de ander niet. En mag dit dan straks dan allemaal niet meer? Uiteraard wel, mits de juiste volgordelijkheid is toegepast. Belangrijk is dat er toestemming is verleend, dat er duidelijk is aangegeven waarvoor deze toestemming is verleend en wat de bedoeling erachter is.
Kansen
Hieruit zie ik nieuwe mogelijkheden en kansen naar voren komen. We worden als bedrijf nu gedwongen om na te denken over onze activiteiten. Welk plan passen we toe en welke hoger doel dient dit? Hoe sluiten klantdata aan bij de missie en visie van ons bedrijf en hoe kan dit bijdragen aan het realiseren van onze doelstellingen. We kunnen niet zomaar meer alle gegevens van een klant verzamelen en daar dan goede redenen voor ‘verzinnen’. Immers, de klant kan elk moment onherroepelijk zijn toestemming weer intrekken en mogelijk zelfs volledig uit beeld verdwijnen. De klant verwacht met recht toegevoegde waarde en kwaliteit van ons als bedrijf.
Verwachtingen
Elke registratie van klantgegevens en elke vorm van communicatie met de klant moet dus bijdragen aan zijn of haar verwachtingen. Die verwachtingen zullen we moeten managen. Uit ervaring weet ik dat dit niet eenvoudig is. Verwachtingen kunnen mijlenver uit elkaar liggen, maar zijn wel de sleutel tot succes. Dit betekent dat we als bedrijf goed moeten gaan nadenken over het gebruik van de data van klanten door in kaart te brengen wat hun drijfveren zijn om gebruik te maken van onze producten en diensten.
Binnen het bedrijf krijgt elke afdeling hiermee te maken. De afdeling marketing houdt andere gegevens bij dan de productieafdeling. Als we nu zorgen dat iedereen hetzelfde doel voor ogen heeft, kunnen we de klantdata organiseren, structureren en bij elkaar brengen tot één samenhangend geheel. Processen kunnen dan zodanig ingericht worden dat het naadloos aansluit bij de beleving, maar vooral de verwachting van de klant. Zeker geen gemakkelijke job. We gieten processen maar al te vaak in stramienen die gericht zijn op interne efficiëntie en kostenreductie. Bovenal richten we ze meestal vanuit het (eenzijdig) bedrijfsperspectief in.
Vertrouwen en bescherming
Heb je het vertrouwen van de klant gekregen om zijn data te verwerken en ben je begonnen om aan de toepassing binnen je proces? Dan biedt dit tal van mogelijkheden voor verdere ontwikkeling. Uiteraard wil je niet dat vertrouwen geschaad wordt en het is dus een vanzelfsprekendheid dat je de verstrekte gegevens goed opslaat en beschermt. Mocht er onverhoopt toch iets misgaan, dan dient de impact voor de betrokkenen zo klein mogelijk te zijn. Er zijn de afgelopen tijd helaas genoeg voorbeelden van situaties waarin informatie ongewild en onbedoeld met de wereld werd gedeeld en de impact voor betrokkenen aanzienlijk was.
Binnen de hele AVG mag ook het belang van email niet onderschat worden. In e-mails kunnen tal van privacygevoelige persoonsgegevens worden opgeslagen en e-mail wordt al snel doorgezonden en/of komt terecht in een persoonlijke folder of archiefmap. Op basis van artikel 15 van de AVG moet je aan een betrokkene kunnen overleggen welke gegevens er van hem/haar worden opgeslagen, maar je moet deze gegevens ook kunnen verwijderen als de betrokkene hierom vraagt. Je voelt hem waarschijnlijk al wel aankomen, hoe organiseer je dit? Een pasklaar antwoord is er niet. Dit vergt denkwerk en vooral medewerking van de hele organisatie.
Beleid, planning, procesbeschrijving en protocol
Succesvolle invulling van de AVG in organisaties vraagt dus vooral om beleid, planning en procesbeschrijving. Top down begint het bij een goed beleid (privacy policy) en planning, gevolgd door een duidelijke procesbeschrijving. Houd bij wie wat, met welke reden en waar doet (register van verwerkingsactiviteiten) en indien er gebruik gemaakt wordt van de diensten van derden leg de verwerking met elkaar goed vast (verwerkersovereenkomst). Mocht het onverhoopt toch wat mis gaan, zorg er dan voor dat duidelijk is welke acties en maatregelen er genomen dienen te worden (Protocol datalekken). Het uiteindelijke resultaat kan dan een verbeterde en relevante vertrouwensrelatie met je klanten zijn.
Conclusie
Zoals vaak bij nieuwe wetgeving is de interpretatie ervan het meest lastige onderdeel. Vraag tien willekeurige personen om hun visie en je ontvangt tien verschillende zienswijzen. Ik denk dat het er uiteindelijk om gaat dat de ‘geest van de wet’ wordt gevolgd. Het heeft weinig zin om iedereen te belasten met zware juridische inrichtingen, die in de praktijk toch niet toepasbaar zijn. Want laten we eerlijk zijn, voor een gemiddeld MKB bedrijf is dit onderwerp geen favoriete bezigheid!