Hoe pak je privacy aan?

Hoe pak je privacy aan

Veel organisaties hebben inmiddels wel in de gaten dat de nieuwe Europese privacywetgeving een behoorlijke impact zal hebben op hun bedrijfsvoering. Er is dus actie geboden en snel ook. Maar hoe pak je privacy aan? Wat heb je hiervoor nodig en wat gaat het betekenen? Veel managers tasten nog in het duister.

Dat is ook niet verwonderlijk. Privacy is een onderwerp dat in het verleden nauwelijks aandacht kreeg. Het toezicht stelde weinig voor en de technische mogelijkheden waren nog niet van dien aard, dat alles en iedereen gekoppeld kon worden. Pas door de introductie van de Wet meldplicht Datalekken in 2016 is er iets aan het veranderen.

Bij veel organisaties is op dit moment sprake van achterstallig onderhoud als het gaat om het beschermen van persoonsgegevens. Ze voldoen niet – of slechts in beperkte mate – aan de Wet Bescherming Persoonsgegevens, terwijl deze wet toch echt al in 2001 in Nederland is ingevoerd. Vanaf mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (Avg) de huidige privacywetgeving gaan vervangen. De Avg is niet alleen een aanscherping van de bestaande wetgeving, maar er worden ook nieuwe bepalingen van kracht. Zo krijgt het individu veel meer rechten (data subject rights). Verder worden organisaties gedwongen om niet alleen de wet te volgen, maar ook om dit aantoonbaar te doen (accountability).

Helaas is het discours over privacy inmiddels min of meer gekaapt door juristen en accountancybureaus, die vaak suggereren dat het gaat om het afvinken van een checklist. Niets is echter minder waar.
Wat de discussie hierover lastig maakt, is het feit dat privacy over zoveel meer gaat dan alleen wetgeving en compliance. De gemiddelde manager is de weg waarschijnlijk allang kwijt. Hij/zij vraagt zich af wat het gaat betekenen voor de organisatie: Hoe pak je privacy aan? Wat is privacy compliance? Kun je als organisatie volstaan met het aanstellen van een privacyfunctionaris? Moet je hiervoor een project inrichten? Kan ik het uitbesteden? Welke expertise hebben we nodig? Wanneer is het klaar?

Dit zijn valide vragen en vaak zijn er geen duidelijke antwoorden. Dat heeft enerzijds te maken met het feit dat het een relatief nieuw vakgebied betreft: er is simpelweg nog geen ervaring met de nieuwe privacywetgeving. Anderzijds bestaan er ook veel misverstanden. Dit wordt nog in de hand gewerkt doordat sommige partijen hun dienstverlening met een privacy-sausje overgieten om voor veel geld hun diensten te slijten. Wat en wie moet je geloven? In ieder geval geen dienstverleners die pasklare oplossingen bieden en die beloven om je te ‘ontzorgen’.

Privacy is en blijft een complex en veelomvattend vraagstuk, waarvoor geen simpele oplossingen bestaan. Tegelijkertijd moeten we het natuurlijk ook niet moeilijker maken dan het is. Om enige grip te krijgen op dit toch wat glibberige onderwerp, is het goed om de volgende vier uitgangspunten in het achterhoofd te houden.

1. De privacywetgeving is niet éénduidig

Het voldoen aan de privacywetgeving is geen simpele invuloefening, maar is contextafhankelijk, deels subjectief en veranderlijk door de tijd heen.

De Avg is het resultaat van jarenlang onderhandelen tussen de EU-lidstaten. Het is wat dat betreft opmerkelijk dat de oorspronkelijke uitgangspunten nog goed overeind zijn gebleven: bescherming van de persoonsgegevens van EU-burgers en het tot stand brengen van een uniforme regelgeving binnen de EU om de handel te bevorderen. Toch is de wetgeving op sommige onderdelen niet meer dan kaderstellend en dit biedt dus veel ruimte voor interpretatie. In de komende jaren zullen door de EU-toezichthouders aanvullende richtlijnen opgesteld worden, om de hiaten verder in te vullen en te concretiseren.

2. Privacy-compliance betekent voor iedere organisatie iets anders

Welke risico’s zijn aanvaardbaar zijn als het om verwerken van persoonsgegevens gaat? Een organisatie die 100% wil voldoen aan de wet- en regelgeving heeft geen bestaansrecht.

Het gaat in essentie om het op de juiste wijze verwerken van persoonsgegevens. Iedere organisatie gaat hier anders mee om. Er bestaat daardoor geen pasklare oplossing die bij iedere organisatie geïmplementeerd kan worden. Bepalend voor de aanpak zijn de risico’s die een organisatie bereid is om te lopen als het om persoonsgegevens gaat (risk appetite). Het hoeft allemaal niet perfect op orde te zijn, maar het gaat erom dat je verantwoorde risico’s neemt (in control).

3. Privacy is meer een reis dan een bestemming

De maatschappelijk aandacht voor de omgang met persoonlijke data zal alleen maar toenemen en organisaties die dit niet tijdig onderkennen, zullen het loodje leggen.

Het is een illusie om te denken dat het gaat om een eenmalige exercitie, privacy is iets van de lange adem. Het gaat om duurzaamheid en heeft een duidelijke toegevoegde waarde voor een organisatie. Het correct omgaan met persoonsgegevens is een strategische doelstelling en geen operationele target.

4. De hele organisatie is erbij betrokken

Privacy heeft een multidisciplinair karakter en is veel meer dan een compliance-vraagstuk.

De wetgeving staat weliswaar aan de basis, maar privacy dient beschouwt te worden als een business issue. Het raakt de organisatie als geheel. Er kan zelfs gesproken worden van een verandertraject, het gaat niet alleen om het doorvoeren van concrete maatregelen maar tegelijkertijd om een andere manier van denken en handelen.

Tot slot

Privacy is dus een complex vraagstuk. Het is van strategisch belang, het resultaat is vooraf niet duidelijk te definiëren, het raakt de hele organisatie en het is iets van de lange adem. Wat betekent dat in de praktijk?

Het ligt erg voor de hand om privacy in te richten als een programma. Een programma is immers primair gericht op het realiseren van baten voor de organisatie en andere stakeholders. Een programma is echter ook: een samenstel van concrete projecten die in samenhang gemanaged worden teneinde de strategische doelstelling te bereiken.

Naast projectmatig werken biedt een programma ook ruimte voor routinematig en improviserend werken. Dat laatste is beslist een voorwaarde om flexibel en accuraat in te kunnen spelen op nieuwe ontwikkelingen. Privacy is namelijk ook een ontdekkingsreis: we weten pas wat er op ons afkomt als we er concreet mee aan de slag gaan.

“Do the best you can until you know better. Then when you know better, do better.”

Maya Angelou – Amerikaans schrijver en dichter

Delen:

Anita Vocht

Anita Vocht is Data Privacy Specialist bij Oelan en helpt organisaties om privacy op de kaart te zetten en te voldoen aan de eisen die voortkomen uit de privacywetgeving. Zij heeft meer dan 20 jaar ervaring in IT en is gecertificeerd privacy professional.

Bekijk de LinkedIn pagina van Anita Vocht