Advies

Privacy: kansrijk thema voor organisaties met lef

De AVG (Algemene Verordening Gegevensbescherming) kent strikte regels. Maar ook veel ruimte. Ruimte om van privacy een bron van zakelijke kansen te maken. Zodra privacy een plek krijgt in de strategie van de organisatie en het management er een heldere visie op formuleert, transformeert het onderwerp van ‘storende wetgeving’ naar sterke drijvende kracht. Een beetje lef kan daarbij wonderen doen.

 

De ergste AVG-paniek is inmiddels grotendeels tot bedaren gekomen. Maar nog steeds zorgt de nieuwe wet voor onrust. En dus liepen sinds de invoering van de wet op een culinair evenement mensen die niet op de foto wilden rond met een rode stip op hun voorhoofd en kwamen basisschoolkinderen thuis met een klassenfoto waarop alle gezichtjes met zwarte stift waren bewerkt. Acties die goedbedoeld waren, maar die uiteindelijk negatieve impact op de betrokken organisaties hadden. Wie juist niets doet – of te weinig – loopt een ander risico. Dat weet bijvoorbeeld de Kamer van Koophandel, die de dubieuze eer had de publieksprijs voor ‘grootste privacyschender van 2018’ in ontvangst te nemen. Het feit dat deze prijs wordt uitgereikt, laat zien hoe actueel het worstelen met de nieuwe wetgeving nog is.

 

Sturingsinstrument

Maar hoe moet het dan wel? “De wetteksten van de AVG kennen een aantal strikte verplichtingen, maar geven tegelijkertijd lang niet voor alles concrete kaders”, vertelt adviseur Joeri Heinemans van BOOM. “Zogeheten ‘open normen’ creëren een groot grijs gebied in de toepassing in de dagelijkse praktijk. Met buitenproportionele maatregelen tot gevolg ‘om maar veilig te zijn’. En dat is jammer, want de AVG is geen verbod op gegevensverwerking. De open normen bieden ruimte.”

 

Er is meer mogelijk dan vaak wordt gedacht, geeft Joeri aan; zolang het maar verantwoord kan worden. “Hoe ver je daarin als organisatie wilt gaan, komt voort uit je visie op het thema. Een heldere visie, zorgt voor heldere keuzes: Hoe richt je het bewaartermijnenbeleid in? Wat spreek je af in je verwerkersovereenkomsten? Hoe communiceer je over privacy met je stakeholders? Hoe benader je een aankomende verandering? Een concrete privacyvisie helpt bij het beantwoorden van deze vragen en biedt sturing bij toekomstige ontwikkelingen. Een beetje lef kan daarbij enorm helpen.”

 

Als voorbeeld noemt hij de bewaartermijnen. De AVG stelt dat gegevens niet langer bewaard mogen blijven ‘dan nodig’. Joeri: “Dat betekent niet dat gegevens direct moeten worden verwijderd na gebruik, maar dat organisaties moeten nadenken over de rol van persoonsgegevens. Wanneer het belang om de gegevens te bewaren groter is dan de privacy-impact, mogen gegevens gewoon bewaard worden. Hiervoor is toestemming lang niet altijd nodig. Organisaties mogen persoonsgegevens verwerken wanneer zij een ‘gerechtvaardigd belang’ hebben dat groter is dan de privacy-impact. Handelen vanuit een bewust privacybeleid met een concrete visie over gegevensverwerking is de kern van de AVG. Durf daarom die visie te formuleren én er vanuit te handelen.”

"Handelen vanuit een bewust privacybeleid met een concrete visie over gegevensverwerking is de kern van de AVG. Durf daarom die visie te formuleren én er vanuit te handelen."

Joeri Heinemans (BOOM)

Bouwen aan vertrouwen

Steeds meer bedrijven zien in dat privacy meer is dan een moetje. Zo wijst onderzoek van IBM uit dat directieleden ruimte zien om zich als organisatie te onderscheiden met goede privacybescherming. Zij zien de AVG als kans om de vertrouwensband met stakeholders te versterken en zo nieuwe bedrijfskansen te creëren. Die stakeholders zijn vaak burgers: burgers die zich steeds meer zorgen maken over hun privacy. Vier op de vijf volwassenen maakt zich meer zorgen om privacy dan een jaar geleden. Onder Nederlanders is vertrouwen in de organisatie met afstand de belangrijkste voorwaarde om persoonsgegevens te delen. Transparantie en begrijpelijk privacybeleid leveren de grootste bijdrage aan het opbouwen van dit vertrouwen.

 

Met andere woorden: wie goed nadenkt over het privacybeleid van de eigen organisatie, hier een heldere visie op formuleert, deze op een begrijpelijke manier deelt met stakeholders, bouwt aan vertrouwen. En dat vertaalt zich uiteindelijk ook in reputatie. Wie daarbij de ruimte durft op te zoeken, creëert de meeste kansen. "En dan gaat het er niet zozeer om dat je de grens opzoekt, maar dat je niet bang bent je in het 'grijze gebied' te bewegen, vertrouwend op je privacybeleid.”

Aan de slag met privacy

  • Dialoog aangaan
    Inventariseer hoe interne en externe stakeholders denken over privacy en waar hun prioriteiten liggen op gebied van gegevensbescherming. Ga de dialoog hierover aan.
     
  • Aansluiten op identiteit en strategie
    Stel vast op welke punten prioriteiten van stakeholders overlappen met de identiteit van de organisatie. Maak hiervan de basis voor het privacybeleid.
     
  • Transparant en oprecht blijven
    Communiceer open en direct. Voorkom ‘window dressing’, wees oprecht.
     
  • Anticiperen op veranderingen
    Kijk vooruit. Zorg ervoor dat je als organisatie flexibel op nieuwe regels en gerechtelijke uitspraken kunt inspelen. Vergeet bijvoorbeeld de aankomend e-Privacy Verordening niet.

 

Privacy gaat nooit meer weg

“Alleen kijken naar het minimaal vereiste is een gemiste kans”, vindt Joeri. “Uit angst iedere vorm van verwerking van persoonsgegevens uitbannen, schiet ieder doel voorbij. Wie vanuit visie en een beetje lef de mogelijkheden durft te verkennen, zal verbaasd zijn over de kansen die het thema privacy biedt. En nog gaat bieden: want privacy gaat iedereen aan. Niemand kan er nog omheen. En het gaat nooit meer weg.”