De AVG: waar staan we nu eigenlijk?

Het is alweer een tijd geleden dat de AVG in werking is getreden. Een nieuwe wetgeving die veel in ons werken zou veranderen en veel onduidelijkheid zou brengen. Het zorgde voor veel stress en druk, maar inmiddels lijkt de rust wat wedergekeerd. Tijd om de balans op te maken: er is al veel gebeurd, maar waar staan we nu eigenlijk?

Vóór de AVG

Zoals bij iedere (verandering in) wetgeving kende ook de AVG voor- en tegenstanders. In het begin leek het grootste deel tegenstanders te zijn. Want de AVG was zó ingewikkeld dat niemand er écht iets van begreep… Logisch, want de AVG ís ook ingewikkeld. Een veelgehoorde opmerking is dat de nieuwe Privacywet een onduidelijk en multi-interpretabel karakter heeft, waardoor veel mensen het nut er niet van inzagen. Het gevolg? Veel mensen dachten er aanvankelijk (te) licht over: die wet is zo breed, dat zal vast niet gehandhaafd worden. Maar 25 mei is inmiddels geweest, de AVG heeft zijn intrede gemaakt en voor iedereen die het nog niet heeft gedaan is het nu écht tijd om zijn organisatie AVG-gereed te maken.

De organisatie AVG-gereed maken

Veel organisaties dachten dat het inzetten van een jurist voldoende is/was om de organisatie AVG-gereed te maken, maar dat is het niet! De AVG is een multidisciplinaire wet en heeft dus betrekking op de gehele organisatie. Van ICT-ers tot juristen en van processpecialisten tot bestuurders, ze krijgen allemaal te maken met de AVG. Een jurist aannemen of inhuren is dus een prima eerste stap, maar niet de enige stap die genomen moet worden. Het is beter om de gehele organisatie (of een groot deel ervan) bewust te maken van de AVG en wat de wet voor effect heeft op zijn eigen werkzaamheden. Alleen dan ontstaat er eensgezindheid en ontstaan er diepere discussies, zoals hoe invulling te geven aan de rechten van de inwoner/huurder/klant. Bij organisaties die dit goed ingericht hebben duikt men de archieven in en rijzen vragen als: hebben wij deze (persoons)gegevens wel nodig voor onze dienstverlening, moeten wij het anoniem archiveren of zelfs pseudonimiseren? Bovendien wordt er gekeken naar combinaties van wetgevingen zoals de BIG, Archiefwet, ISO- en NEN-certificeringen. Op deze manier de AVG interpreteren in de organisatie is dus veel effectiever.

Controles van de Autoriteit Persoonsgegevens

Maar die controles waar we zo voor zijn gewaarschuwd in de aanloop naar 25 mei, worden die eigenlijk wel uitgevoerd? Zeker weten! De Autoriteit Persoonsgegevens draait op volle toeren. Mede door deze controles bleken datalekken vaker voor te komen dan verwacht en worden deze nu veel beter afgehandeld. Zo werd op 6 juni bekendgemaakt dat bij de melddesk van de Belastingdienst al 1275 datalekken zijn gemeld, waarvan 225 naar het AP zijn verstuurd. Hieruit blijkt: hoe strikter de controle, hoe sneller dit soort situaties in kaart kunnen worden gebracht en in de toekomst zelfs kunnen worden voorkomen.

En nu?

Natuurlijk vergt de AVG tijd en inspanning, maar door de gehele organisatie bij het proces te betrekken leeft het veel meer dan wanneer er enkel een specialist voor wordt ingeschakeld. Of het nu gaat om de plaatselijke sportvereniging, (grote) stichtingen of een buurtvereniging, ieder heeft zijn of eigen verantwoordelijkheid in de wet. Voldoen aan de voorwaarden van de AVG is daarnaast een doorlopend proces. De organisatie AVG-gereed maken betekent continu controleren en indien nodig bijsturen. Wanneer iedereen in de organisatie daarvan weet, zal het bijsturen veel gemakkelijker en meer organisch gaan. Het is niet voor niets dat een machine pas écht goed loopt als alle radartjes werken.