Privacy – Moeten we ons klaarmaken voor een boeteregen?

| Renco Schoemaker | ,

Inmiddels hebben we nog maar acht maanden te gaan, voordat we moeten voldoen aan de nieuwe Europese privacywet. Vanaf dat moment kunnen de boetes oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Moeten we bang zijn voor een boeteregen van de Autoriteit Persoonsgegevens (AP)? Ik denk het niet.

Paniek?

Onlangs schreef het Financieel Dagblad (FD) over vermeende paniek binnen organisaties over de Algemene Verordening Gegevensbescherming (AVG). Dat organisaties de impact van de AVG onderschatten is één ding wat zeker is. En als je nog moet beginnen met de implementatie van de nieuwe privacywet, kan ik je alvast vertellen dat het niet gaat lukken om hier op tijd aan te voldoen. Maar of er paniek is binnen organisaties hierover, betwijfel ik. Sommige organisaties denken wellicht dat ze de implementatie en naleving van de AVG kunnen uitbesteden. Maar dit kan niet. De Functionaris Gegevensbescherming (FG) kan er bijvoorbeeld niet alleen voor zorgen dat aan alle verplichtingen omtrent de AVG wordt voldaan, daar heeft uiteindelijk iedereen binnen de gemeente een aandeel in. Om te kunnen/blijven voldoen aan de nieuwe Europese privacywet is een cultuuromslag vereist. Iedereen dient zich continu bewust te zijn van zijn rol binnen de bescherming van persoonsgegevens.

Zware opgave

In een opvolgend (nuancerend) artikel schreef het FD vervolgens terecht over het feit dat de nieuwe privacywet weliswaar een zware opgave is voor organisaties. Zo ben ik het er mee eens dat organisaties die het respect voor de eindgebruiker (betrokkene) niet tot in de haarvaten hebben zitten, vanaf het moment dat de AVG van kracht is, serieuze boetes riskeren. Het is van belang dat organisaties ook willen voldoen aan de nieuwe privacywet, in plaats van dat ze alleen het gevoel hebben dat het een verplichting is. Niet alleen moeten, maar ook willen. Het is dus wenselijk dat de AVG naast een cultuuromslag, of eigenlijk meer als onderdeel daarvan, ook een mentaliteitsverandering teweeg brengt wat betreft de omgang met persoonsgegevens binnen organisaties. Zoals het bovengenoemde artikel beschrijft, is het van belang dat er in ieder geval wordt voorkomen dat welwillende bedrijven er niet in kunnen slagen deze omslag te maken. Het moet uiteraard wel haalbaar zijn. En zeggen dat je dan maar eerder had moeten beginnen helpt dan niet echt..

Boeteregen

Naar aanleiding van het eerste artikel van het FD, publiceerde AG Connect een artikel waar ik niet enthousiast van word. Volgens dit artikel kunnen we namelijk, vanaf het moment dat de AVG van kracht is, een flinke ‘boeteregen’ vanuit de AP verwachten. Maar als het verleden van het AP een indicator is voor de toekomst, zal het met die regen van boetes wel loslopen. Nu de AP vandaag de dag al huiverig lijkt in het opleggen van boetes van maximaal €820.000, lijkt het me sterk dat ze vanaf volgend jaar wel losgaan met het uitdelen van boetes die kunnen oplopen tot 20 miljoen of 4% van de wereldwijde omzet.

Als je het mij vraagt bewerkstellig je immers in het beginsel een cultuuromslag of een mentaliteitsverandering, niet met boetes. In tegendeel zelfs. Je creëert dan een angstcultuur. Het gewenste gedrag komt dan voort uit angst en dus uit een moeten, in plaats van uit een cultuuromslag of mentaliteitsverandering, en dus uit een willen.
Het gaat bij privacy om een uitdaging die om blijvende alertheid gaat. Dit kan alleen als je het belang hiervan inziet, in plaats van dat je alleen handelt om bepaalde consequenties (zoals een boete) te voorkomen. In plaats van te wapperen met boetes is het dus zaak dat er nog meer aandacht wordt besteed aan het belang van het zorgvuldig omgaan met gegevens. Dit kan bijvoorbeeld door middel van een doorlopende bewustwordingscampagne.

Kortom; natuurlijk hoop ik wel dat de AP zo nu en dan van zich laat horen (ook met boetes), maar een offensief aan boetes is niet wat we nodig hebben én is evenmin wat ik denk dat er gaat gebeuren. Hoe denk jij hierover?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …