26 september 2017

Column Lotte de Bruijn: ‘Privacy-paniek’

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, VERTROUWEN

Eerst een waarschuwing. Dit wordt een column over de aankomende Europese privacywetgeving. Maar blijf doorlezen, want ik ga je niet bombarderen met ingewikkelde juridische terminologie. Ik ga je ook niet bang maken met verhalen over dreigende megaboetes. “Bedrijven in paniek…”, kopte het Financieel Dagblad een tijdje terug. Ik denk dat er voor het gemiddelde ICT-bedrijf geen reden is voor paniek. Sterker nog, de nieuwe regels zouden de digitale transformatie wel eens kunnen bevorderen.

Om te beginnen met het goede nieuws. Inhoudelijk verandert er veel minder aan de wet dan wordt gesuggereerd. We hebben al sinds eind jaren ’80 wetgeving die bepaalt wanneer je wel en niet persoonsgegevens mag verwerken en welke verplichtingen daar dan bij gelden. Veel begrippen uit de huidige wet keren terug in de nieuwe wet, zij het soms onder een andere naam. Bottom line, als je je de afgelopen 20 jaar aan de wet hebt gehouden, dan zal implementatie van de wetgeving overzichtelijk zijn.

Dan het slechte nieuws. Ook al voldoe je volledig aan de wet, je moet het straks kunnen aantonen. Voor de meeste ICT-bedrijven geldt dat ze juridisch gezien niet verantwoordelijk zijn voor persoonsgegevens, maar ze slechts verwerken. De nieuwe wet eist dan dat je je boekhouding op orde hebt. Je moet in kaart brengen wat voor gegevens je verwerkt, waarom je dat doet en hoe lang je het bewaart. In sommige gevallen moet je iemand aanwijzen die vanuit een neutrale positie deze inventarisatie controleert en rapporteert aan de Autoriteit Persoonsgegevens. Een soort accountant voor ie data dus.

Dit is allemaal geen rocket science, maar het levert helaas wel extra administratieve lasten op. Er is een hele industrie ontstaan van bedrijven die quick scans aanbieden, workshops geven of zelfs certificering doen. Dat kan in sommige gevallen nuttig zijn, maar uiteindelijk gaat het om kernprocessen in je organisatie die je in kaart moet brengen. Dat zal je echt zelf moeten doen. Je zult bovendien moeten zorgen dat ook je klanten hun administratie op orde hebben en dat je goede afspraken met elkaar hebt gemaakt. Om je te helpen heeft Nederland ICT een serie met tools en checklists. En we werken aan een nieuwe dienst die het je helemaal makkelijk maakt.

Ik ben een optimist. Uiteindelijk denk ik dat we als sector ook profijt zullen hebben van de nieuwe wet. Privacy en security zijn namelijk belangrijke randvoorwaarden voor succesvolle digitale transformatie. De nieuwe regels zorgen ervoor dat je straks beter weet of business partners, leveranciers en klanten hun zaken op orde hebben. Dat creëert onderling vertrouwen en versterkt je propositie. Het is een Europese wet, dus als we in Nederland voorop lopen op compliance-gebied, dan levert dat internationaal concurrentievoordeel op.

Ik heb al veel vaker gezegd dat voor een succesvolle digitalisering we de randvoorwaarden op orde moeten hebben. Genoeg mensen met de juiste kennis en skills, een uitstekende infrastructuur, een heldere en consistente visie van de overheid en voldoende vertrouwen in digitale privacy en security. Die laatste randvoorwaarde zou met de nieuwe wet voor een groot deel in orde moeten zijn. Dat zorgt voor meer ruimte voor ICT-bedrijven om te doen waar ze goed in zijn: samen met hun klanten nadenken over hoe we optimaal kunnen profiteren van digitale technologie.

Deze column is verschenen in ChannelConnect van september 2017.