Privacymania-virus

23 mei 2018

Wat voor privacybescherming voor burgers had moeten zorgen, loopt volledig uit de hand. Binnenkort is de nieuwe Europese privacywetgeving van kracht. De Autoriteit Persoonsgegevens is als waakhond aangewezen. Hij loopt al maanden te blaffen en te schuimbekken. Op 25 mei gaat z’n ketting los en zien we of het een bijtende Pitbull is of een keffende Chihuahua. Ondertussen zie ik twee dingen gebeuren in organisaties. Of ze zijn volstrekt relaxed (wellicht een uiting van laksheid) en doen helemaal niets, of ze verkrampen en schieten volledig door in hun protectionistische maatregelen. Uit onwetendheid?

Aan die laatste groep begin ik me behoorlijk te storen. Niet gehinderd door het management hebben ze het gevoel dat ze de boel stil kunnen leggen. Onder het mom van ‘Dat mag niet van de AVG’ – het wordt ook als een mantra uitgesproken – trekken ze ten strijde. De toestemmingsmails voor toekomstige berichten vliegen in bosjes in mijn mailbox. Websites waar ik jaren geleden een keer wat heb besteld en waar ik sindsdien niet meer van af kan komen, komen nu als een brave Hendrik vragen om m’n akkoord. Zo ken je vast zelf ook voorbeelden. Het Privacymania-virus heerst volop!

Er is over de AVG al veel geschreven en al de nodige events over georganiseerd. Je zou toch denken dat we weten wat er wel en wat er niet mag ‘van de AVG’… Je zou bijna denken dat de Autoriteit Persoonsgegevens te laat is begonnen met voorlichten. Het heeft er in ieder geval alle schijn van dat de AP met 117 mensen in dienst (eind 2017) onvoldoende body heeft voor de nieuwe verordening.

Waar moet een inkoper nou rekening mee houden in nieuwe inkoopprojecten? Ik licht het in een aantal stappen toe:

  • Stap 1. Inventariseer of een opdrachtnemer beschikking krijgt over persoonsgegevens
  • Stap 2. Identificeer de status van opdrachtnemer. Is hij verantwoordelijke of verwerker van persoonsgegevens?
  • Stap 3. Stel voorwaarden aan de opdrachtnemer en de opdracht
  • Stap 4. Stel een verwerkingsovereenkomst op
  • Stap 5. Neem extra bepalingen in de inkoopdocumenten op
  • Stap 6. Abstraheer en anonimiseer persoonsgegevens tot de noodzakelijke informatie in inkoopdocumenten

Deze stappen staan op de website van AevesBenefit uitgebreider beschreven.

Maar ook na het afsluiten van het contract, sterker nog, juist ná dit moment is het noodzakelijk om de naleving van de AVG goed te bewaken. Dit is alleen mogelijk met actief contractmanagement. De contractmanager moet zorgen dat de leverancier de afspraken naleeft. Bijvoorbeeld of ISO-certificeringen nog up-to-date zijn en of de leverancier nog steeds gebruik maakt van een dataserver in de EU. Als de leverancier zijn contract niet naleeft, heeft de contractmanager de juiste bevoegdheden nodig om bijvoorbeeld boetes op te kunnen leggen. De AVG kan dus zomaar als positieve bijwerking hebben dat de functie van contractmanager nóg meer gewicht krijgt! Privacy zal periodiek op de CM-agenda met leveranciers moeten staan.

We zullen zien hoe heet de soep vanaf 25 mei gegeten wordt. Ik heb geen glazen bol, maar ik durf de voorspelling aan dat de wereld gewoon doordraait, dat de AP een keffertje blijkt te zijn en dat er snel een vaccin komt tegen het privacymania-virus.

Wim Nieland