12-02-2018 / nieuws / Paul Oor

De AVG: Waarom ben ik nog verbaasd en kan ik nog verbazen?

Kortgeleden werd ik gevraagd om een presentatie te geven voor een gezelschap van vakgenoten. Om mijn pragmatische visie op de impact op informatieveiligheid van de Algemene Verordening Gegevensbescherming AVG (GDPR) te geven. Da’s pas een uitdaging!

 

Want, zoals zoveel vakgenoten, word ik inmiddels wat flauw van alle marketing en communicatie geweld rond de AVG. Daarbij richt de boodschap zich vaak op het benadrukken van de hoge boetes, aanbiedingen voor de enige echte oplossing (lees: tool) om boetes te voorkomen en steeds meer inleidende juridische beschietingen… Na ruim 2 jaar voorbereiding was eerlijk gezegd ook bij mij de echte reden waarom de AVG/GDPR belangrijk is voor ons allemaal wat naar de achtergrond verdwenen.

 

Veel organisaties en bedrijven zijn volledig afhankelijk geworden van het verwerken van persoonsgegevens. Dat is geen recht; het is een voorrecht, een privilege! Hoewel de Wet bescherming persoonsgegevens (Wbp) ook al grenzen stelde aan dat voorrecht krijgen burgers, consumenten, klanten, patiënten, leerlingen na 25 mei 2018 heel veel rechten om voorwaarden te stellen aan de verwerking van hun persoonsgegevens.

 

Natuurlijk; verwerking moet een goede juridische basis hebben en het is cruciaal dat de informatieveiligheid goed op orde is. De meeste juristen en Security Officers zijn en blijven hier dus heel druk mee;  bij voorkeur in nauwe samenwerking.  

 

Tot mijn verbazing zijn business managers en IT-specialisten zoals architecten, applicatiebeheerders e.d. veel minder druk en geïnformeerd… En da’s in de meeste organisaties best een risico en aandachtspunt…

Op 29 januari 2018 startte de Autoriteit Persoonsgegevens (AP) een landelijke ‘AVG’ campagne. Daarin benadrukt de AP welke rechten burgers straks hebben richting uw organisatie. Dat is toch wel meer dan volgens de huidige Wbp en heeft grote bedrijfsmatige en technische consequenties!

Klanten en burgers zullen meer en meer hun rechten uit gaan oefenen, mogelijk op grote schaal. Met die rechten in gedachten zullen ze vaker bewuste keuzes maken met welke organisatie of bedrijf zij zaken willen doen. Recht op inzage, correctie, verwijdering, overdracht…  

 

Langzaam begint het besef te komen dat onze bedrijfsprocessen, techniek, architectuur niet klaar zijn om deze verzoeken en eisen op een efficiënte en effectieve manier af te handelen! Weet uw klantenservice afdeling hoe ze op deze vragen en eisen gaan reageren?

 

Bekende Amerikaanse bedrijven zijn er vaak al veel verder mee. Niet zozeer vanuit een zorgplicht gedachte, maar gewoon om de markt in Europa niet te verliezen. Een goed en bekend voorbeeld is LinkedIn. Daar kun je als eindgebruiker (klant)– zonder enige interventie van een service desk al je persoonsgegevens, volledig geautomatiseerd opvragen, laten verwijderen enz. De systemen, bedrijfsprocessen en architectuur zijn daar nu al volledig ingericht om u in staat te stellen uw AVG/GDPR-rechten uit te oefenen. Zonder dat dit voor LinkedIn veel extra kosten of risico’s met zich meebrengt.

 

Eerlijk gezegd denk ik niet dat veel Nederlandse organisaties al zover zijn. Tot mijn verbazing blijkt er – na alle juridische en ‘informatie veiligheid’ acties - nog heel veel werk aan de winkel voor (service)procesmanagers, architecten, webdesigners, applicatiebeheerders enz. Alleen dan kun je voorkomen dat rechtmatige verzoeken van onze klanten met dure, handmatige, risicovolle, geïmproviseerde systemen en processen beantwoord moeten worden!

Laat dat nu precies zijn wat de Europese wetgevers willen bereiken! Niet het incasseren van boetes; maar het ‘onbeschreven’ recht van het verwerken van persoonsgegevens te transformeren in een ‘voorrecht’. Organisaties en bedrijven moeten dus in actie komen om dat ‘voorrecht’ te behouden. Dat is pas ‘Business done differently’ en ‘digital transformation’.

 

Bent u er klaar voor als 26 mei a.s. 1% van uw klanten of medewerkers vraagt welke informatie u over ze ‘verwerkt’?

 

Paul Oor

Chief Security Officer

+31 (0)6 8233 1857

poor@conclusion.nl