“AVG is ook een kans”

De klok tikt. Vanaf mei wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Een fors pakket van regels wordt van kracht: denk aan de plicht om data deugdelijk te beveiligen, beleid, protocollen en verwerkingsovereenkomsten die opgesteld moeten worden en allerlei eisen met vergaande organisatorische consequenties. 

Meer weten over de AVG? Lees ook de whitepaper 'Wat is de waarde van uw data?'

Lastig is dat de wet veel open eindjes heeft. Waar je aan moet voldoen is nog niet altijd glashelder. Zo moet een organisatie bijvoorbeeld een functionaris voor de gegevensbescherming aanstellen in het geval van onder andere grootschalige verwerking van bijzondere persoonsgegevens. Maar wat is grootschalig? Ook het vergroten van het bewustzijn van medewerkers is een lastig verhaal. Zomaar gegevens verzamelen en delen is er niet meer bij. Mensen zijn gewend om altijd bij alle data te kunnen, dat kan straks niet meer. Een mindset verandering is nodig. Een proces waar nogal wat tijd overheen gaat.

Auteur Jan van Ederen is partner en bedrijfsjuridisch adviseur bij Grant Thornton
Lees ook: Van Nigeriaanse prins naar ‘CEO fraud’

Kat uit de boom kijken

Er gaapt nog een flink gat tussen wat straks nodig is en wat organisaties nu doen. Velen realiseren nog niet dat ze met privacybescherming aan de slag moeten. Ze maken zich geen zorgen, omdat hun business niet gericht is op persoonsgegevens. Maar iedere organisatie heeft klanten en personeel en verwerkt dus persoonsgegevens. 

Vanwege de administratieve last, de hoge kosten of een tekort aan mankracht, kijken velen de kat uit de boom. ‘Eerst maar eens zien of de boetes gaan vallen, dan komen we in beweging’, is de tendens. Maar toezichthoudende organen willen zich op een bepaald moment toch bewijzen. Bovendien is gegevensbescherming een belangrijk thema in de politiek. Het is dus een kwestie van wachten voordat de eerste boetes vallen. En denk naast boetes ook aan andere kosten die cyberincidenten met zich meebrengen. Gegevens die op straat komen te liggen, bezorgen een organisatie forse reputatieschade. En verlies van vertrouwen bij klanten zorgt voor een verlies van inkomsten.

Zo begin je 

Actie dus, maar waar te beginnen? Allereerst moet de leiding het belang van het thema onderkennen en ernaar handelen. Dat betekent geld en mensen vrijmaken om ermee aan de slag te gaan. Praktisch begint het bij het inventariseren en classificeren van de gegevens: wat heb ik, waar sla ik het op, hoelang doe ik dat? Wie heeft er toegang? En heb ik dit echt allemaal nodig?

Het advies voor de CFO is om de AVG op de agenda te zetten en ermee te beginnen. Het zal in het begin onoverzichtelijk zijn, maar laat je niet afschrikken door de enorme hoeveelheid regelgeving.  Houd het binnen proporties en begin op praktisch niveau. Stap voor stap zal duidelijk worden dat de organisatie steeds beter met de wetgeving om kan gaan.

Bedenk vooral dat de AVG uiteindelijk tot betere cyberveiligheid leidt. Gaandeweg wordt de beveiliging verbeterd, is het inzicht toegenomen, het bewustzijn onder medewerkers vergroot en zijn de risico’s verkleind. Door het voldoen aan de AVG is de plek van cybersecurity in het proces gewijzigd. Bij het ontwerp van processen of het uitdenken van projecten staat het niet meer achter-, maar vooraan. Er wordt direct rekening mee gehouden. Zoals het hoort.