Ineens gaat het over de nieuwe privacywet die eind mei 2018 van kracht wordt. De waakhond Autoriteit Persoonsgegevens.wordt gezien als een van de meest bedreigende instanties want als je niet voldoet kun je rekenen op boetes waar je scheel van gaat zien. Zij letten dus op de goede uitvoering van de AVG. En let op: AVG is dus NIET de organisatie die antivirussoftware op de markt brengt!
Natuurlijk springen een hoop partijen daar dankbaar op in. Ze jagen iedereen de boom in en praten over hel en verdoemenis. Je moet uitkijken aan wie je mails stuurt en vooral wie dan elkaars emailadres kan zien terwijl ze elkaar niet kennen. Laat je op een sportschool een scherm openstaan met je ledenbestand en iemand dient een klacht in, dan ben je de Sjaak. Kortom, het gaat erom spannen.
De vraag is of dat nou wel zo is. Deze privacywet (internationaal GDPR genoemd, staat voor General Data Protection Regulation) is er met name voor om de gegevens van individuen te beschermen. Zoals jij en ik. Om te zorgen dat alle organisaties die gegevens van ons hebben en die op een of andere manier opslaan daar de volle verantwoordelijkheid voor nemen en er van alles aan doen om ze te beveiligen.
Je kunt je afvragen of daar nou een wet voor nodig is om ze daartoe te dwingen want je zou toch verwachten dat ze dat besef van zichzelf al hebben … maar nee, dat is niet het geval. Vandaar dat er wordt gehackt kan worden bij het leven en dat er van alles over je bekend is bij organisaties waar jij het bestaan niet eens van vermoedde. Tegelijkertijd gooien diezelfde individuen die via deze wet beschermd moeten worden hun hele hebben en houwen vrijwillig op Facebook en iedereen deelt dat met iedereen. Maar ja, de crux zit ‘m hier in het woord vrijwillig natuurlijk…
Ik zelf denk dat de wet in eerste instantie niet zo streng zal worden nageleefd als er nu wordt gezegd. Om de doodeenvoudige reden dat dan zowat heel Nederland zal moeten worden gekeurd en bekeurd en dat is praktisch onmogelijk. Maar dat er wel serieus op klachten ingegaan zal worden die door een individu worden ingediend … dat geloof ik wel. Anders wordt die wet een papieren tijger.
Er zal ook de nodige jurisprudentie moeten komen om de kaders strak te krijgen. Want natuurlijk komen er rechtszaken hierover.
Op dit moment wemelt het van de consultants die claimen jou als organisatie te kunnen helpen om “compliant” te worden, dus dat je gaat voldoen aan alle richtlijnen. Maar het is eerst zaak om uit te zoeken of de wet überhaupt wel op jou van toepassing is. En zo ja, op welke aspecten dan precies? Dan kan je vervolgens uitzoeken of er iets niet goed gaat op die punten en daarop inspelen. Kijk dan met name ook of de partijen waarmee je samenwerkt en die met persoonlijke gegevens van jouw klanten of leden werken de boel ook goed regelen. Want jij blijft namelijk eindverantwoordelijk. Daar zit dus wel een addertje onder het gras.
Voor de rest: laat je niet gek maken en zoek een betrouwbare partij op die je kan helpen. Niet eentje die je probeert bang te maken. Want zo heet wordt de soep dus echt niet gegeten.