Privacy – Moeten we ons klaarmaken voor een boeteregen?

| Renco Schoemaker | ,

Inmiddels hebben we nog maar acht maanden te gaan, voordat we moeten voldoen aan de nieuwe Europese privacywet. Vanaf dat moment kunnen de boetes oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Moeten we bang zijn voor een boeteregen van de Autoriteit Persoonsgegevens (AP)? Ik denk het niet.

Paniek?

Onlangs schreef het Financieel Dagblad (FD) over vermeende paniek binnen organisaties over de Algemene Verordening Gegevensbescherming (AVG). Dat organisaties de impact van de AVG onderschatten is één ding wat zeker is. En als je nog moet beginnen met de implementatie van de nieuwe privacywet, kan ik je alvast vertellen dat het niet gaat lukken om hier op tijd aan te voldoen. Maar of er paniek is binnen organisaties hierover, betwijfel ik. Sommige organisaties denken wellicht dat ze de implementatie en naleving van de AVG kunnen uitbesteden. Maar dit kan niet. De Functionaris Gegevensbescherming (FG) kan er bijvoorbeeld niet alleen voor zorgen dat aan alle verplichtingen omtrent de AVG wordt voldaan, daar heeft uiteindelijk iedereen binnen de gemeente een aandeel in. Om te kunnen/blijven voldoen aan de nieuwe Europese privacywet is een cultuuromslag vereist. Iedereen dient zich continu bewust te zijn van zijn rol binnen de bescherming van persoonsgegevens.

Zware opgave

In een opvolgend (nuancerend) artikel schreef het FD vervolgens terecht over het feit dat de nieuwe privacywet weliswaar een zware opgave is voor organisaties. Zo ben ik het er mee eens dat organisaties die het respect voor de eindgebruiker (betrokkene) niet tot in de haarvaten hebben zitten, vanaf het moment dat de AVG van kracht is, serieuze boetes riskeren. Het is van belang dat organisaties ook willen voldoen aan de nieuwe privacywet, in plaats van dat ze alleen het gevoel hebben dat het een verplichting is. Niet alleen moeten, maar ook willen. Het is dus wenselijk dat de AVG naast een cultuuromslag, of eigenlijk meer als onderdeel daarvan, ook een mentaliteitsverandering teweeg brengt wat betreft de omgang met persoonsgegevens binnen organisaties. Zoals het bovengenoemde artikel beschrijft, is het van belang dat er in ieder geval wordt voorkomen dat welwillende bedrijven er niet in kunnen slagen deze omslag te maken. Het moet uiteraard wel haalbaar zijn. En zeggen dat je dan maar eerder had moeten beginnen helpt dan niet echt..

Boeteregen

Naar aanleiding van het eerste artikel van het FD, publiceerde AG Connect een artikel waar ik niet enthousiast van word. Volgens dit artikel kunnen we namelijk, vanaf het moment dat de AVG van kracht is, een flinke ‘boeteregen’ vanuit de AP verwachten. Maar als het verleden van het AP een indicator is voor de toekomst, zal het met die regen van boetes wel loslopen. Nu de AP vandaag de dag al huiverig lijkt in het opleggen van boetes van maximaal €820.000, lijkt het me sterk dat ze vanaf volgend jaar wel losgaan met het uitdelen van boetes die kunnen oplopen tot 20 miljoen of 4% van de wereldwijde omzet.

Als je het mij vraagt bewerkstellig je immers in het beginsel een cultuuromslag of een mentaliteitsverandering, niet met boetes. In tegendeel zelfs. Je creëert dan een angstcultuur. Het gewenste gedrag komt dan voort uit angst en dus uit een moeten, in plaats van uit een cultuuromslag of mentaliteitsverandering, en dus uit een willen.
Het gaat bij privacy om een uitdaging die om blijvende alertheid gaat. Dit kan alleen als je het belang hiervan inziet, in plaats van dat je alleen handelt om bepaalde consequenties (zoals een boete) te voorkomen. In plaats van te wapperen met boetes is het dus zaak dat er nog meer aandacht wordt besteed aan het belang van het zorgvuldig omgaan met gegevens. Dit kan bijvoorbeeld door middel van een doorlopende bewustwordingscampagne.

Kortom; natuurlijk hoop ik wel dat de AP zo nu en dan van zich laat horen (ook met boetes), maar een offensief aan boetes is niet wat we nodig hebben én is evenmin wat ik denk dat er gaat gebeuren. Hoe denk jij hierover?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog