Skip to main content

Privacy – Moeten we ons klaarmaken voor een boeteregen?

| IB&P | ,

Inmiddels hebben we nog maar acht maanden te gaan, voordat we moeten voldoen aan de nieuwe Europese privacywet. Vanaf dat moment kunnen de boetes oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Moeten we bang zijn voor een boeteregen van de Autoriteit Persoonsgegevens (AP)? Ik denk het niet.

Paniek?

Onlangs schreef het Financieel Dagblad (FD) over vermeende paniek binnen organisaties over de Algemene Verordening Gegevensbescherming (AVG). Dat organisaties de impact van de AVG onderschatten is één ding wat zeker is. En als je nog moet beginnen met de implementatie van de nieuwe privacywet, kan ik je alvast vertellen dat het niet gaat lukken om hier op tijd aan te voldoen. Maar of er paniek is binnen organisaties hierover, betwijfel ik. Sommige organisaties denken wellicht dat ze de implementatie en naleving van de AVG kunnen uitbesteden. Maar dit kan niet. De Functionaris Gegevensbescherming (FG) kan er bijvoorbeeld niet alleen voor zorgen dat aan alle verplichtingen omtrent de AVG wordt voldaan, daar heeft uiteindelijk iedereen binnen de gemeente een aandeel in. Om te kunnen/blijven voldoen aan de nieuwe Europese privacywet is een cultuuromslag vereist. Iedereen dient zich continu bewust te zijn van zijn rol binnen de bescherming van persoonsgegevens.

Zware opgave

In een opvolgend (nuancerend) artikel schreef het FD vervolgens terecht over het feit dat de nieuwe privacywet weliswaar een zware opgave is voor organisaties. Zo ben ik het er mee eens dat organisaties die het respect voor de eindgebruiker (betrokkene) niet tot in de haarvaten hebben zitten, vanaf het moment dat de AVG van kracht is, serieuze boetes riskeren. Het is van belang dat organisaties ook willen voldoen aan de nieuwe privacywet, in plaats van dat ze alleen het gevoel hebben dat het een verplichting is. Niet alleen moeten, maar ook willen. Het is dus wenselijk dat de AVG naast een cultuuromslag, of eigenlijk meer als onderdeel daarvan, ook een mentaliteitsverandering teweeg brengt wat betreft de omgang met persoonsgegevens binnen organisaties. Zoals het bovengenoemde artikel beschrijft, is het van belang dat er in ieder geval wordt voorkomen dat welwillende bedrijven er niet in kunnen slagen deze omslag te maken. Het moet uiteraard wel haalbaar zijn. En zeggen dat je dan maar eerder had moeten beginnen helpt dan niet echt..

Boeteregen

Naar aanleiding van het eerste artikel van het FD, publiceerde AG Connect een artikel waar ik niet enthousiast van word. Volgens dit artikel kunnen we namelijk, vanaf het moment dat de AVG van kracht is, een flinke ‘boeteregen’ vanuit de AP verwachten. Maar als het verleden van het AP een indicator is voor de toekomst, zal het met die regen van boetes wel loslopen. Nu de AP vandaag de dag al huiverig lijkt in het opleggen van boetes van maximaal €820.000, lijkt het me sterk dat ze vanaf volgend jaar wel losgaan met het uitdelen van boetes die kunnen oplopen tot 20 miljoen of 4% van de wereldwijde omzet.

Als je het mij vraagt bewerkstellig je immers in het beginsel een cultuuromslag of een mentaliteitsverandering, niet met boetes. In tegendeel zelfs. Je creëert dan een angstcultuur. Het gewenste gedrag komt dan voort uit angst en dus uit een moeten, in plaats van uit een cultuuromslag of mentaliteitsverandering, en dus uit een willen.
Het gaat bij privacy om een uitdaging die om blijvende alertheid gaat. Dit kan alleen als je het belang hiervan inziet, in plaats van dat je alleen handelt om bepaalde consequenties (zoals een boete) te voorkomen. In plaats van te wapperen met boetes is het dus zaak dat er nog meer aandacht wordt besteed aan het belang van het zorgvuldig omgaan met gegevens. Dit kan bijvoorbeeld door middel van een doorlopende bewustwordingscampagne.

Kortom; natuurlijk hoop ik wel dat de AP zo nu en dan van zich laat horen (ook met boetes), maar een offensief aan boetes is niet wat we nodig hebben én is evenmin wat ik denk dat er gaat gebeuren. Hoe denk jij hierover?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…