Column Lotte de Bruijn: ‘Oerwoud’
‘Iedereen is de weg kwijt in het GDPR-oerwoud’, stond er eind februari op de website van ChannelConnect. Het enorme aanbod aan diensten om per 25 mei te voldoen aan de Avg/GDPR zorgt voor verwarring bij ondernemers. Ik kan me heel goed voorstellen dat ondernemers hulp zoeken bij externe partijen. Ik kan me ook heel goed voorstellen dat ze vervolgens door de bomen het bos niet meer zien. Toch ben ik bang dat we het ook een beetje onszelf aandoen. Het hoeft niet ingewikkeld te zijn. Maar dan moet je wel accepteren dat je je compliance in de basis zélf moet regelen.
Om dat uit te leggen is het slim om even terug te gaan naar de kern van de wet. Elke ondernemer verzamelt persoonsgegevens, bijvoorbeeld over zijn klanten en zijn personeel. De Avg zegt dat je vast moet leggen wat voor gegevens je verzamelt, waarom je dat doet en wat je doet om ze veilig en privacyvriendelijk op te slaan. In de praktijk komt dat vooral neer op een hoop inventariseren en vastleggen. Wat is het beveiligingsbeleid? Wie heeft er toegang tot welke data? Wat doen we als iemand vraagt om gegevens in te zien?
Dan zijn er ook nog ondernemers die diensten en producten leveren waarmee hun klanten gegevens verzamelen. Dat noemen we verwerkers, of data processors. Een meerderheid van de ICT-bedrijven is data processor. In deze rol moet je voldoen aan andere regels. Je hoeft niet uit te leggen waaróm je de gegevens verzamelt (want dat bepaalt je klant), maar wel hoe je dat doet en wat je doet om de privacy en security te waarborgen. Ook dat komt in eerste instantie neer op inventariseren, vastleggen en afspraken maken met je klanten.
Kortom: voldoen aan de Avg betekent voor een groot deel dat je je ‘privacyboekhouding’ op orde moet hebben. Net als met je financiële boekhouding moet dat in de kern belegd zijn binnen je eigen organisatie. Natuurlijk kun je een externe boekhouder inhuren voor advies. En natuurlijk zijn er prachtige softwarepakketten die je helpen de boel netjes te registreren en het overzicht te bewaren. Als je je Avg-compliance in de basis zelf op orde hebt, weet je waarschijnlijk veel beter welke tools en pakketten voor jouw organisatie nuttig zijn en welke niet.
Het venijn van de Avg zit hem voor ICT-bedrijven met name in de afspraken die je maakt met je klanten. Jouw taak als data processor is vooral transparant zijn over hoe je privacy en security hebt gewaarborgd. Dat kan bijvoorbeeld door de nodige informatie op te nemen in je verwerkersovereenkomst. Het is aan je klant om te beoordelen of dat passend is of niet.
Wat mij betreft omarmen we de Avg en grijpen we de nieuwe eisen aan om dataprotectie in de hele keten te professionaliseren. Natuurlijk, de Avg is nu even big business. Maar laat je niet gek maken door het oerwoud aan tools een diensten en zorg vooral dat je vanaf 25 mei je privacyboekhouding op orde hebt!
