Inmiddels hebben we nog maar acht maanden te gaan, voordat we moeten voldoen aan de nieuwe Europese privacywet. Vanaf dat moment kunnen de boetes oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Moeten we bang zijn voor een boeteregen van de Autoriteit Persoonsgegevens (AP)? Ik denk het niet.

Paniek?

Onlangs schreef het Financieel Dagblad (FD) over vermeende paniek binnen organisaties over de Algemene Verordening Gegevensbescherming (AVG). Dat organisaties de impact van de AVG onderschatten is één ding wat zeker is. En als je nog moet beginnen met de implementatie van de nieuwe privacywet, kan ik je alvast vertellen dat het niet gaat lukken om hier op tijd aan te voldoen. Maar of er paniek is binnen organisaties hierover, betwijfel ik. Sommige organisaties denken wellicht dat ze de implementatie en naleving van de AVG kunnen uitbesteden. Maar dit kan niet. De Functionaris Gegevensbescherming (FG) kan er bijvoorbeeld niet alleen voor zorgen dat aan alle verplichtingen omtrent de AVG wordt voldaan, daar heeft uiteindelijk iedereen binnen de gemeente een aandeel in. Om te kunnen/blijven voldoen aan de nieuwe Europese privacywet is een cultuuromslag vereist. Iedereen dient zich continu bewust te zijn van zijn rol binnen de bescherming van persoonsgegevens.

Zware opgave

In een opvolgend (nuancerend) artikel schreef het FD vervolgens terecht over het feit dat de nieuwe privacywet weliswaar een zware opgave is voor organisaties. Zo ben ik het er mee eens dat organisaties die het respect voor de eindgebruiker (betrokkene) niet tot in de haarvaten hebben zitten, vanaf het moment dat de AVG van kracht is, serieuze boetes riskeren. Het is van belang dat organisaties ook willen voldoen aan de nieuwe privacywet, in plaats van dat ze alleen het gevoel hebben dat het een verplichting is. Niet alleen moeten, maar ook willen. Het is dus wenselijk dat de AVG naast een cultuuromslag, of eigenlijk meer als onderdeel daarvan, ook een mentaliteitsverandering teweeg brengt wat betreft de omgang met persoonsgegevens binnen organisaties. Zoals het bovengenoemde artikel beschrijft, is het van belang dat er in ieder geval wordt voorkomen dat welwillende bedrijven er niet in kunnen slagen deze omslag te maken. Het moet uiteraard wel haalbaar zijn. En zeggen dat je dan maar eerder had moeten beginnen helpt dan niet echt..

Boeteregen

Naar aanleiding van het eerste artikel van het FD, publiceerde AG Connect een artikel waar ik niet enthousiast van word. Volgens dit artikel kunnen we namelijk, vanaf het moment dat de AVG van kracht is, een flinke ‘boeteregen’ vanuit de AP verwachten. Maar als het verleden van het AP een indicator is voor de toekomst, zal het met die regen van boetes wel loslopen. Nu de AP vandaag de dag al huiverig lijkt in het opleggen van boetes van maximaal €820.000, lijkt het me sterk dat ze vanaf volgend jaar wel losgaan met het uitdelen van boetes die kunnen oplopen tot 20 miljoen of 4% van de wereldwijde omzet.

Als je het mij vraagt bewerkstellig je immers in het beginsel een cultuuromslag of een mentaliteitsverandering, niet met boetes. In tegendeel zelfs. Je creëert dan een angstcultuur. Het gewenste gedrag komt dan voort uit angst en dus uit een moeten, in plaats van uit een cultuuromslag of mentaliteitsverandering, en dus uit een willen.
Het gaat bij privacy om een uitdaging die om blijvende alertheid gaat. Dit kan alleen als je het belang hiervan inziet, in plaats van dat je alleen handelt om bepaalde consequenties (zoals een boete) te voorkomen. In plaats van te wapperen met boetes is het dus zaak dat er nog meer aandacht wordt besteed aan het belang van het zorgvuldig omgaan met gegevens. Dit kan bijvoorbeeld door middel van een doorlopende bewustwordingscampagne.

Kortom; natuurlijk hoop ik wel dat de AP zo nu en dan van zich laat horen (ook met boetes), maar een offensief aan boetes is niet wat we nodig hebben én is evenmin wat ik denk dat er gaat gebeuren. Hoe denk jij hierover?