Waar staat uw organisatie?

Organisaties investeerden het afgelopen jaar veel tijd, moeite en middelen in het bedenken en implementeren van maatregelen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De meeste organisaties vragen zich nu echter af: ‘Waar staat mijn organisatie? Zijn de genomen maatregelen voldoende? Zijn we klaar?’

Privacy Governance Structuur

Het invoeren van privacy- en gegevensbeschermingsmaatregelen ging niet zonder slag of stoot en de meeste organisaties hebben inmiddels ingezien dat de AVG diepgaande gevolgen heeft. De AVG is niet tijdelijk. De in de AVG vermelde beginselen vormen een nieuwe realiteit met betrekking tot de verwerking van persoonsgegevens. Hiervoor is vaak een radicaal andere aanpak vereist, die op bestuursniveau doorgevoerd dient te worden. Een goed opgestelde privacy governance structuur zorgt, naast aantoonbare naleving van de AVG, voor een duurzame aanpak om deze nieuwe realiteit te borgen.

Fasen van acceptatie

Toch was de komst van alomvattende wetgeving zoals de AVG reeds langere tijd bekend. Waarom hebben organisaties zoveel moeilijkheden met implementatie? Het antwoord op die vraag is voor een groot deel te wijden aan de vrees die organisaties hadden voor deze nieuwe realiteit of onbegrip voor de veranderingen die dit teweeg zou brengen. Dit zorgde voor conflicterende opvattingen en grotendeels ongestructureerde aanpakken binnen organisaties. Considerati zag veel organisaties de volgende fasen doorlopen om tot acceptatie van deze nieuwe realiteit te komen:

  • Fase 1: Ontkenning (2012-2016) - Iedere organisatie begon met één of meer pioniers (een jurist, een IT’er of compliance officer) die de AVG al van mijlenver zagen aankomen. Deze pioniers gingen zelf op onderzoek uit en kwamen er al snel achter dat de AVG complexe wetgeving is met een dito implementatie. De pioniers luidden in de gehele organisatie de noodklok, maar kregen in veel gevallen geen gehoor. “We verwerken toch helemaal geen persoonsgegevens?” of “Privacy bestaat niet meer!”, kregen zij vaak te horen.
  • Fase 2: Protest (2016-2017) - Naar mate de aandacht voor de AVG in de media toenam, en sommige bestuurders de bui ook zagen hangen, ontvingen afdelingen budget om aan de slag te gaan met de AVG. Die afdelingen verboden – in veel gevallen ten onrechte - gebruik van bepaalde systemen of het verzamelen van persoonsgegevens en gingen tegelijkertijd de hort op om collega’s te interviewen voor het register van verwerkingsactiviteiten. Het enerzijds verbieden van allerlei handelingen en anderzijds belasten van de organisatie met allerlei vragen en checklists om mogelijkerwijs nóg meer handelingen te verbieden, leidde in veel organisaties tot weerstand.
  • Fase 3: Paniek (2017-2018) - Een aantal maanden voor de invoering van de AVG startte de Autoriteit Persoonsgegevens (AP) met een grootschalige mediacampagne over de AVG en de handhaving daarvan. De media en sommige advocaten- en consultancy kantoren gingen volop mee in het circus en waarschuwden voor de torenhoge boetes die per 25 mei 2018 onherroepelijk zouden vallen. Tegelijkertijd leidde de complexe wetgeving tot veel verwarring. Partijen die geen persoonsgegevens verwerkten kregen toch verwerkersovereenkomsten voorgeschoteld, persoonsgegevens mochten ineens alleen nog maar op grond van toestemming worden verwerkt en iedereen moest per email bevestigen nog steeds klant te zijn. En dat alles met het idee dat toezichthouders klaar stonden om binnen te vallen. Vooral dat laatste leidde tot paniek, want het project “AVG-implementatie” bleek toch iets meer tijd te kosten dan de geplande twee maanden.
  • Fase 4: Realiteitszin (2018) - Na alle overtrokken reacties en onjuiste uitspraken komen de meeste organisaties na mei 2018 tot een soort realiteitszin: we gaan de deadline niet halen. Het implementatieproject werd over de zomer heen getild, waarna de werkzaamheden overgingen naar de lijn, de privacy officers en de FG. Dit gebeurde echter vaak zonder eerst een (nieuwe) gestructureerde aanpak op te stellen wat leidde tot het verlies van overzicht en prioriteiten. 
  • Fase 5: En nu? (2019-) - De meeste implementatietrajecten zijn ten einde gekomen en ‘de lijn’ heeft de privacy werkzaamheden al dan niet overgenomen. Veel organisaties ontdekken dat het AVG-implementatieproject en verrichte werkzaamheden opgevolgd moeten worden maar lopen vaak tegen problemen aan bij de uitwerking hiervan.

 De vragen die organisaties veel aan ons stellen:

  • Hoe succesvol is ons implementatieproject geweest?
  • Waar liggen nu onze prioriteiten?
  • Hoe zorgen we dat we verrichte werkzaamheden in stand houden en missende werkzaamheden uitvoeren?

De meeste van dit soort vragen kunnen opgelost worden door middel van het opstellen en volgen van een duidelijke privacy governance structuur. En daar ligt de toegevoegde waarde van Considerati.

Over Considerati

Considerati helpt organisaties juridisch en maatschappelijk verantwoord te innoveren. Ons Legal team geeft juridisch advies op het gebied van onder andere de AVG, ePrivacy, datamanagement en cybersecurity. We zijn goed op de hoogte van de problematiek waar zowel startende, groeiende alsook gevestigde nationale en internationale organisaties op het gebied van privacy en gegevensbescherming tegen aan lopen. Neem gerust contact met ons op voor meer informatie.

Bart Schermer Partner