Het is vandaag Blue Monday, de meest deprimerende dag van het jaar. Het is vroeg in de ochtend en ik rijd naar het werk. Voor mij zie ik een prachtige bloedmaan, een unieke gebeurtenis. Achter mij ligt een gezellig weekend met heerlijk weer. Geen Blue Monday voor mij. Sterker nog, ik kijk terug op een prachtig 2018!   

Wat mij betreft draaide 2018 om de AVG. Een deel van mijn ervaringen wil ik met jullie delen. In het begin van het jaar ondersteunde ik organisaties die al in 2017 waren gestart met werkzaamheden rondom de AVG. Al snel volgden begin 2018 de organisaties die zich als doel hadden gesteld voor 25 mei een aantal zaken te regelen. 

Toen de maand mei in de buurt kwam ontstond er een soort ‘AVG snelkookpan’. De media besteedde aandacht aan de AVG en de mailboxen vol met berichten van organisaties die op zoek waren naar actieve toestemming. En natuurlijk verschenen er meldingen op veel websites om je te informeren over het gebruik van je persoonsgegevens. Helaas in een aantal gevallen nog steeds in onbegrijpelijke taal. 

Er waren verenigingen met weinig persoonsgegevens die zich grote zorgen maakten en het professioneel aanpakten en waren professionele dataverzamelaars met veel bijzondere persoonsgegevens die nauwelijks in actie kwamen. In veel gevallen kwam ‘de ware privacy aard’ van een organisatie boven water. Meer dan eens hoorde ik mijzelf zeggen dat organisaties niet ‘iets’ met de AVG moesten doen om mij te plezieren. Maar voor hun klanten, hun medewerkers. Oftewel: voor hun eigen organisatie. 

Toen brak de datum aan, eindelijk was het 25 mei. Alle paniek bleef uit, evenals de stortvloed aan mensen die hun inzagerecht uit wilden oefenen. Dus we gingen door met de dataregisters, het afsluiten van verwerkersovereenkomsten en het geven van workshops. Na de zomervakantie bleken er ook nog organisaties die beseften dat de AVG ook op hen van toepassing is. 

Bij terugkijken hoort ook het benoemen van hoogtepunten en dingen die beter kunnen. Wat had ik graag anders gezien? De onleesbare verwerkersovereenkomsten zijn een goed voorbeeld. Het afsluiten van al deze overeenkomsten blijkt een tijdrovende klus. Het heeft er in sommige gevallen de schijn van dat er na het afsluiten niemand meer naar kijkt – tot er een datalek is. 

Voor mij is het absolute hoogtepunt dat de onderwerpen privacy en informatiebeveiliging meer op de agenda’s van organisaties zijn komen te staan. Nu gaat het erom dit vast te houden. Het is namelijk geen project met een kop en een staart, maar dient onderdeel te worden van de organisatie. Verder hoop ik dat burgers zich meer bewust zijn geworden. Het begin lijkt er te zijn: bijna 10.000 mensen dienen privacyklacht in bij autoriteit persoonsgegevens.

5 lessons learned

1. Kies woorden en begrippen (bijvoorbeeld in je privacyreglement) die iedereen begrijpt. Of maak gebruik van symbolen.
2. Maak het uitoefenen van rechten niet onnodig moeilijk, voor je klant en voor jezelf.
3. Informeer je medewerkers. Niet alleen over het gebruik van hun persoonsgegevens, maar ook over het gebruik van de persoonsgegevens van klanten.
4. Zorg voor een volledig dataregister en houd dit actueel, dit is goud waard.
5. Besteed aandacht aan bewustwording van de medewerkers, en blijf dit doen.