Vorig jaar rond deze tijd had iedereen het erover; de Algemene verordening gegevensbescherming (AVG) kwam eraan! Wat weinig bedrijven voor ogen hadden, was dat de AVG op dat moment al zo’n twee jaar bestond en dat van organisaties werd verwacht dat de uitrol binnen het eigen bedrijf zich in de laatste fase bevond. Niets bleek echter minder waar en belangenorganisaties sprongen dan ook in de bres voor hun achterban. Kon de AVG niet nog een jaartje worden uitgesteld? Nee, zo was het stellige antwoord. Bedrijven en instellingen hadden voldoende voorbereidingstijd gehad en moesten daarom maar wat vaart maken als zij nog niet AVG-proof waren. Wat is er van deze stoere uitspraken gekomen? Waar staan we nu een jaar na 25 mei 2018? En belangrijker nog, is er sprake van stilte na de storm? Een beschouwing.
In 2017 ben ik gestart met de uitrol van de eerste AVG-dienstverlening. Het MKB, mijn voornaamste doelgroep, liep op dat moment nog niet erg warm voor deze adviezen en trainingen. De bedrijven die interesse toonden vormden eerder uitzondering dan regel. Veelgehoord respons was: “daar zijn wij nog niet aan toe” of “eerst maar eens afwachten welke vaart het loopt”. Later, rond maart 2018, kregen organisaties door dat het menens was. Niet in de laatste plaats doordat grotere bedrijven massaal nieuwe privacyvoorwaarden en verwerkersovereenkomsten begonnen te delen. Nog voor de AVG definitief van kracht was, waren bedrijven en personen al massaal privacy-moe. Overeenkomsten werden vaak blind getekend en privacyverklaringen belandden rechtstreeks in de prullenbak.
De groots aangekondigde controles en maatregelen bleven na 25 mei 2018 uit. Enkele organisaties die het echt niet op orde hadden, werden eruit gepikt, denk aan de Belastingdienst en de Nationale Politie, en ook een aantal grootschalige datalekken hebben het nieuws gehaald. Dat heeft echter het MKB niet massaal gestimuleerd om de zaken op orde te brengen. Sterker nog, ik spreek nog wekelijks ondernemers die helemaal niets in hun organisatie hebben gewijzigd of die wel een start hebben gemaakt, maar met de uitrol zijn gestopt toen het te moeilijk, te kostbaar en/of te tijdrovend bleek te zijn. Ik zie dit als een gemiste kans, want deze argumenten mogen nooit een reden zijn om slordig met persoonsgegevens om te gaan. In mei 2018 werd er aangekondigd dat er zou worden gehandhaafd en dat had dan ook op veel meer lagen moeten gebeuren.
Ik vergelijk het met de blauwe (parkeer-)zone die sinds half april van dit jaar in mijn straat geldt. Vanaf dag één zijn de BOA’s dagelijks in het gebied te vinden om deze nieuwe regel te handhaven. Met effect, want nagenoeg iedereen die het centrum bezoekt beschikt inmiddels over een parkeerschijf en gebruikt deze. Door zichtbaar te zijn, weet iedereen dat het menens is. De Autoriteit Persoonsgegevens (AP) is vooral in het nieuws gekomen met de aanpak van grote organisaties. Hoewel zij uiteraard het goede voorbeeld moeten vormen, staan zij ver af van al die duizenden kleinere organisaties die ons land rijk is. Het geeft zelfs een averechts signaal af, namelijk dat privacyverplichtingen alleen zouden gelden voor de Googles en de Facebooks van deze wereld.
Mijn hoop gaat dan ook uit naar de eerstkomende periode na 25 mei 2019. De boetebeleidsregels liggen klaar, de laatste vacatures binnen de AP worden inmiddels vervuld en niets lijkt dan ook aan handhaving in de weg te staan. De verwachting is dat er sprake is van stilte vóór de storm en dat het echte signaal over hoe menens de AVG is, in het komende half jaar zal worden afgegeven. Want privacy gaat niet alleen over grote organisaties; het gaat over de bescherming van de persoonsgegevens van u en van mij door iedere organisatie die deze met vertrouwen in handen krijgt.
Dit artikel is ook te vinden in het dossier AVG
