Organisaties hebben inmiddels nog minder dan één jaar de tijd voordat de Europese Privacy Verordening (de Algemene Verordening Gegevensbescherming AVG) rechtstreeks van toepassing zal zijn in de lidstaten van de EU.
Er is al veel geschreven over deze verandering in privacy-land. In eerdere blogs zijn door mij, onder meer, de volgende onderwerpen besproken:
- Waarom je als organisatie serieus aan de slag moet gaan met de AVG
- Hoe & waar te beginnen met privacy-compliancy?
- Wanneer dien je een Data Protection Officer (DPO) aan te stellen?
- Waar dien je op te letten bij het aanstellen van een DPO?
Cosmetische compliance
Veel organisaties maken tot op heden nog vaak de keuze om op papier te voldoen aan de regelgeving. Dit houdt in dat ze er bijvoorbeeld voor kiezen een Privacystatement op te (laten) stellen waarmee betrokkenen onder andere geïnformeerd worden welke persoonsgegevens van hen worden verzameld en voor welk doel deze verwerking plaatsvindt. Ook wordt in een dergelijk statement opgenomen op welke wijze betrokkenen hun rechten kunnen uitoefenen, zoals het recht op inzage en rectificatie.
Praktijk
Wanneer echter in de praktijk blijkt dat de procedures zoals opgenomen in het statement niet bekend zijn bij of (kunnen) worden nageleefd door (medewerkers van) de organisatie dan blijkt de cosmetische compliance niets waard te zijn. Ik kan me zelfs situaties voorstellen waarin niet alleen nog steeds hoge boetes kunnen worden opgelegd vanwege niet naleving van de AVG maar juist in een dergelijk geval er een groot risico bestaat op reputatieschade. Dit met name wanneer betrokkenen, via social media, kenbaar maken dat een organisatie alleen een mooi cosmetisch laagje heeft aangebracht waarbij de basis ontbreekt.
Papier is geduldig
Dit verschil tussen papier en praktijk speelt uiteraard op alle vlakken, dus ook bij het privacybeleid van een organisatie, een register van verwerkingen, bewerkersovereenkomsten, een datalekken procedure en zelfs bij trainingen voor medewerkers. In het beleid kan zijn opgenomen dat alle nieuwe medewerkers een privacytraining ontvangen maar wanneer deze training bijvoorbeeld bestaat uit het overhandigen van een documentatiemap die zelfstandig doorgelezen dient te worden, kun je je afvragen of dit daadwerkelijk bijdraagt aan compliance.
Accountability
De AVG vereist aantoonbare naleving van de privacyregelgeving. Dit houdt in dat organisaties zelf dienen te kunnen aantonen dat er wordt gehandeld conform de nieuwe wetgeving. De AVG zoomt behoorlijk in op documentatieverplichtingen maar je zult eveneens bewijs dienen te kunnen leveren dat de processen binnen de organisatie in overeenstemming zijn met hetgeen is opgenomen in documentatie (beleid en procedures). Alleen inzoomen op cosmetische compliance voor je organisatie, kan juist meer schade veroorzaken. Een systeem opzetten van daadwerkelijk en aantoonbaar management op privacyvlak kost tijd en energie en dus ook geld. Dit is, naar mijn mening, niet alleen van belang vanuit het oogpunt van compliance met de AVG, maar juist essentieel om als organisatie te laten zien dat je een betrouwbare zakenpartner bent.
Dus?
Wanneer je als organisatie de bescherming van je reputatie/imago serieus neemt, dan zou ik aanraden ook privacy compliance serieus te nemen. En dan niet alleen aan de buitenkant maar juist (ook) aan de binnenzijde van je organisatie.
Deze blog is geschreven door voormalig collega Wilma van de Meerakker.