Privacy-compliance wordt vaak gezien als een ‘juridisch gedoe’, of een ‘noodzakelijk kwaad’. Maar is dat wel waar? Ik geloof dat dit niet het geval hoeft te zijn. Er is zoveel aandacht voor de ‘straffen’ en te weinig aandacht voor de voordelen van privacy-compliance. Maar wist je dat bedrijven die investeren in privacy, betere bedrijfsresultaten behalen en profiteren van die investeringen? Zou Privacy een marketingtool kunnen zijn voor jouw bedrijf?
Ik zie dat veel bedrijven liever de AVG geheel vermijden. Ik krijg vaak de vraag: moet mijn bedrijf echt voldoen aan de AVG, ook al ben ik niet een groot bedrijf zoals Google, Facebook of Uber? Het antwoord is: ja. Ongeacht het type bedrijf, sector of klantengroep (B2C of B2B), de kans is groot dat de AVG op jouw bedrijf van toepassing is, of je het nu leuk vindt of niet.
Volgens een studie van Cisco (2019 Data Privacy Benchmark Study) uitgevoerd onder 3200 beveiligingsprofessionals in 18 landen uit alle belangrijke sectoren en geografische regio’s, stelt 3% dat de AVG niet op hen van toepassing is. Dat is 96 respondenten van de 3200, wat nog steeds een hoog aantal is, zeker voor internationale bedrijven.
De AVG is namelijk van toepassing op alle organisaties die in de Europese Unie (EU) zijn gevestigd of die persoonsgegevens verwerken van personen in de EU. Onder deze ‘personen’ vallen niet alleen jouw klanten, maar ook jouw werknemers, leveranciers of zakenpartners.
De AVG is ook rechtstreeks van toepassing op jouw bedrijf als je je producten of diensten in de EU aanbiedt (zelfs als je niets in de EU hebt verkocht). Dat betekent dat de meeste bedrijven die internationaal opereren hoe dan ook te maken hebben met de AVG. Dit betekent dat dezelfde principes uit de AVG van toepassing zijn op alle bedrijven, hoewel uiteraard de omvang en focus van de AVG-inspanningen verschilt per sector en per bedrijf. Het is dus geen wonder dat de AVG wordt gezien als een ‘noodzakelijk kwaad’. Maar wat als je Privacy als een zakelijk voordeel zou kunnen zien?
Er zijn al veel artikelen geschreven over de mogelijk hoge boetes in het kader van de AVG, die tot 20 miljoen euro of 4% van de wereldwijde omzet kunnen bedragen. Maar zou je je alleen aan de AVG moeten houden vanwege de hoge boetes? Mijn antwoord is: nee.
Uit mijn ervaring blijkt dat het dreigen met boetes effectief kan zijn om in eerste instantie de aandacht te trekken, maar te veel aandacht voor straffen kan leiden tot ‘AVG-moeheid’. Of erger nog, het kan een averechts effect hebben. Het kan namelijk leiden tot een simpele ‘risicoberekening’, zoals: ‘Wat is het risico dat we daadwerkelijk een boete krijgen?’ Dit lijkt me geen duurzame strategie. Het is effectiever om de voordelen van privacy-investeringen te benadrukken.
Volgens dezelfde Cisco-studie bestaat er een rechtstreeks verband tussen goede privacy en zakelijke voordelen.
Deze zakelijke voordelen bestaan uit:
Organisaties die hebben geïnvesteerd in hun privacy-compliance hebben een kortere verkoopcyclus, doordat zij de privacy-vragen van klanten efficiënter en effectiever kunnen beantwoorden in vergelijking met andere bedrijven;
Een betere privacy-compliance verhoogt het vertrouwen van klanten;
AVG-compliant organisaties ervaren minder datalekken omdat ze investeren in het bewustzijn van werknemers en de preventie van datalekken;
Wanneer datalekken plaatsvonden, waren er minder gegevensrecords van invloed en was de uitvaltijd van het systeem korter (omdat ze investeerden in systeemveerkracht en adequate back-ups);
Als gevolg hiervan waren de totale kosten vanwege datalekken lager dan die van andere organisaties die niet AVG-klaar waren.
Deze voordelen kunnen jouw bedrijf een voorsprong geven op de concurrentie, de (potentiële) verliezen verlagen en de bedrijfswaarde zelfs verhogen (investeerders kijken ook naar privacy!). Dit zou een overtuigende reden moeten zijn voor bedrijven om verder te investeren in privacy.
Maar er is nog een obstakel dat veel bedrijven ervan weerhoudt te investeren in privacy: de (verwachte) kosten van privacy-compliance.
De juridische uitgangspunten van de AVG zijn niet geheel nieuw (we hadden een privacy-richtlijn en -wetgeving vele jaren vóór de AVG), en de AVG bevat voor een groot deel dezelfde principes als voorheen, die voor iedereen (maar dan ook echt iedereen) gelden. Privacy is namelijk een van de grondrechten zoals opgenomen in het EU-Handvest van de Grondrechten.
Desalniettemin bestaat de misvatting dat privacy iets ‘ingewikkeld’ en ‘bureaucratisch’ is. Vanwege deze misvatting denken veel kleine en middelgrote ondernemingen (MKB) dat privacy erg duur is en alleen iets is voor grote bedrijven die het zich kunnen veroorloven om advocaten in te huren. Met het gevolg dat de naleving van de privacywetgeving helemaal achterwege blijft.
Het tegenovergestelde is echter waar: omdat privacy een fundamenteel grondrecht is voor iedereen, moet privacy binnen ieders bereik liggen. En wie zegt dat privacy duur moet zijn? Hoewel het wordt aanbevolen om in bepaalde situaties gespecialiseerde privacy-advocaten in te schakelen, zijn er al veel online tools en modellen beschikbaar om jouw bedrijf op de goede weg te helpen met de AVG en de ‘privacy-basis’ op orde te krijgen.
Dit artikel is ook te vinden in het dossier AVG
