Print:

Drie signalen dat dataprotectie echt volwassen wordt

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Steeds meer organisaties geven aan dataprotectie een stevige en structurele plek op de agenda. Toch is een groei in privacyvolwassenheid niet altijd vanzelfsprekend. Daardoor staan privacy officers voor de uitdaging om de noodzaak van een goede omgang met persoonsgegevens voor het voetlicht te – blijven – brengen. Drie ontwikkelingen laten zien dat de aandacht voor privacyvolwassenheid toeneemt – en geven handvatten voor professionals die zich daarvoor inzetten.

IIR Privacy

 

Wordt aantoonbaar aan de wet- en regelgeving voldaan, is privacy in een speerpunt op alle niveaus van de organisatie, kan tijdig worden geanticipeerd op toekomstige wijzigingen en krijgt het thema dataprotectie ook in externe communicatie aandacht? Een bevestigend antwoord op al deze vragen is een signaal dat een organisatie werkt aan een groei in privacyvolwassenheid. Dat is althans af te leiden uit het privacyvolwassenheidsmodel van het CIP, dat vijf niveaus onderscheidt waarop organisaties grip hebben op de verwerking van persoonsgegevens. Het model is een veelgebruikt instrument om de borging van privacy te beoordelen. Met de Privacy self assessment tool kan vervolgens worden bepaald wat de organisatie nog te doen staat om het gewenste volwassenheidsniveau te bereiken.

Sinds de implementatie van de Algemene verordening gegevensbescherming (AVG) houden steeds meer organisaties rekening met een langetermijnbeleid voor dataprotectie. Er wordt onderkend dat AVG-compliance geen eenmalige exercitie is, maar een vraagstuk dat om beleid vraagt. De stappen ná een implementatietraject betekenen dat adequate risicobeheersing en een groei in privacyvolwassenheid stevig en structureel op de agenda staan.

Niet voor elke organisatie zijn een sterke mate van compliance en een hoog ambitieniveau op het vlak van privacyvolwassenheid vanzelfsprekende doelen. Privacy officers en Functionarissen voor de Gegevensbescherming (FG’s) hebben anno 2019 nogal eens zendingswerk te doen. Drie signalen illustreren positieve ontwikkelingen – en geven inzichten waarmee privacyprofessionals bij hun voordeel kunnen doen.

1. De awareness is hoger dan ooit

Vriend en vijand van de AVG zullen het erover eens zijn: het privacybewustzijn heeft met de komst van de nieuwe wet een enorme boost gekregen. Zoals woordvoerder Martijn Pols van de Autoriteit Persoonsgegevens (AP) het samenvatte in een interview met een terugblik op de invoering van de AVG: “Bedrijven zijn zich veel bewuster van privacy: dat is winst. (…) Dat is een compliment waard: mensen zijn ver met de bescherming van persoonsgegevens. Wij realiseren ons ook dat grote en kleine bedrijven veel werk hebben moeten verzetten. Er is een goede basis gelegd voor privacybescherming.”

De aandacht voor de AVG is niet alleen van belang voor de naleving van de regels. De awareness ondersteunt ook het werk van privacy officers en hun collega’s, die daardoor op meer zichtbaarheid en relevantie kunnen rekenen.

2. De kansen worden steeds meer gezien

Over de nieuwe verplichtingen en aangescherpte normen van de AVG is veel geklaagd. Ook de komst van de ePrivacy Verordening wordt nogal eens gezien als een complexe opgave en een extra administratieve last. Toch gaat er ook een toenemend aantal stemmen op dat de focus legt op de kansen van dataprotectie.

“Zie de AVG als een set kansen. (…)  Door respect te tonen voor onze klanten en ons tot doel stellen de kans op fouten te minimaliseren laten we zien privacy serieus te nemen”, schreef het Platform voor Informatiebeveiliging (PiB) in een samenvatting van het positieve sentiment. De zorgvuldige omgang met persoonsgegevens is te beschouwen als een vast onderdeel van goed werkgeverschap en verantwoord ondernemerschap. Daarnaast kan het de moeite waard zijn om de ogen open te houden voor de mogelijkheden en meerwaarde die gegevensbescherming de organisatie biedt. “De echte kansen zitten in het uiteindelijk effect van het (opnieuw) beoordelen van de huidige bedrijfsprocessen en de persoonsgegevens die daarbij verwerkt worden”, aldus het PiB. Zo’n review kan interessante inzichten opleveren, die de organisatie uiteindelijk verder brengen met bijvoorbeeld IT-beheer, marketing en innovatie.

Een positief perspectief op AVG-compliance kan ook voorkomen dat organisaties de wet onnodig streng interpreteren, waardoor de regels een rem zetten op ontwikkelingen en innovaties. Zoals de AP waarschuwt: “Te streng hoeft ook niet. Die regels zijn er in eerste instantie om iets te beschermen, en in de praktijk moet dat zo geregeld zijn dat het normale zaken niet in de weg staat.”

3. Security en privacy trekken vaker samen op

De AVG legt een belangrijke nadruk op accountability en aantoonbaar in control zijn. Deze benadering stimuleert organisaties om de beheersing van de levensloop van data en de kwaliteit van persoonsgegevens te verhogen. Daarmee heeft dataprotectie veel raakvlakken met informatiebeveiliging. Sterker nog, AVG-processen worden idealiter ingebed in bestaande processen voor informatiebeveiliging. Dat schrijven Joseph Mager en Renato Kuiper in een PVIB-whitepaper. Ze signaleren dat privacy en security in het tijdperk van de Wet bescherming persoonsgegevens doorgaans als afzonderlijke disciplines werden gezien. Dat is een gemiste kans, want beide vraagstukken richten zich op “de beheersing van risico’s geassocieerd met de kwaliteit van de informatievoorziening van een organisatie. Managementsystemen voor risicomanagement vormen daarmee een aanknopingspunt voor het samenvoegen van de activiteiten (integratie) voor deze disciplines.” De integratie van privacy en informatiebeveiliging is dan ook een goede basis om te werken aan een volwassenheidsgroei in dataprotectie.

Weten hoe uw organisatie kan groeien in privacyvolwassenheid? Volg dan de vierdaagse praktijkcursus Privacy Officer 2.0, of ga voor de beroepsopleiding CDPO. En wissel tijdens de Dag van de Privacy Officer op 6 en 7 juni ervaringen en ideeën uit met ervaren vakgenoten en andere experts.

Meer informatie?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.