“In Nederland en ook elders ter wereld zijn bedrijven en instellingen voor hun bedrijfsvoering steeds meer afhankelijk van data. Deze datagedreven aanpak brengt echter mee dat je ook rekening moet houden met de steeds strengere privacyregels. Nogal eens worden deze regels als lastig ervaren. Toch loont het om je te verdiepen in de aanstaande Europese privacyregelgeving. Niet alleen om hoge boetes en reputatieschade te vermijden, maar vooral ook omdat het je data en je organisatie op een duurzame wijze meer waard maakt en je daarmee je innovatiekansen verhoogt.” zegt Elisabeth Thole, partner en hoofd van Privacy Team bij het advocatenkantoor Van Doorne.

Privacybewust zijn

“Privacy compliance wordt meestal niet heel sexy gevonden. Het is geen leuk nieuw speeltje waarmee je meteen meer klanten aantrekt.” stelt Thole. “Inmiddels weten de meeste bedrijven wel dat ze met de privacyregels aan de slag moeten, maar voelen ze zich vooral overweldigd door alle regels. Het staat niet bovenaan hun prioriteitenlijstje. Veel is ook nog onduidelijk, en de meerwaarde ervan wordt niet direct gezien. Je verkoopt bijvoorbeeld niet ineens meer producten als je compliant bent. Daarbij komt dat veel mensen zelf ook onzorgvuldig met hun eigen gegevens omgaan, zodat het de vraag is wie om de privacybescherming vraagt.” Toch is het zaak om de bewustwording voor duurzame privacy compliance te creëren, want op de langere termijn is het volgens Thole wel degelijk lonend.

“Data is de nieuwe olie. Als je daar op een goede manier mee omgaat, kan je er veel meer mee doen en op duurzame wijze groeien. Vaak zijn organisaties zich er niet van bewust dat de privacyregels niet in de weg hoeven te zitten en veel juist wel mogelijk is als je het tijdig en goed regelt. Organisaties zouden zichzelf daarom tekortdoen als ze niet nagaan waar ze staan met hun privacybeleid, en wat ze moeten doen om hun bedrijfsdoelstellingen te bereiken.”

Voorbereiden op de AVG

Bij het voorbereiden op de nieuwe privacyregels van de Algemene Verordening Gegevensbescherming (AVG), oftewel General Data Protection Regulation (GDPR) staan organisaties voor een stevige taak. “De overgang naar de AVG moet zeker niet worden onderschat”, zegt Thole. “Er zijn nu al veel privacyregels, en daar komt alleen maar meer bij. Je kan het zien als een drietrapsraket: méér verplichtingen voor bedrijven en organisaties die met persoonsgegevens werken, méér rechten voor de betrokkenen en méér nadruk op handhaving.”

Uit recent onderzoek is gebleken dat veel organisaties nog weinig hebben gedaan om aan de AVG te voldoen. “In mijn praktijk zie ik dat met name grote multinationals goed op weg zijn, maar er is, zelfs bij deze grote ondernemingen, nog veel zendingswerk te doen.” Opvallend vindt Thole dat de meeste bedrijven en instellingen vaak pas om privacyadvies vragen wanneer zij bijvoorbeeld een nieuw CRM-systeem implementeren of wanneer er net een datalek is geweest. “Het grotere plaatje van de AVG schuiven ze liever nog wat voor zich uit. Het is daardoor maar de vraag of zij wel op tijd klaar zullen zijn en daarmee de vruchten van een duurzame datagedreven aanpak kunnen plukken.”

Duurzaam met persoonsgegevens omgaan

De consequenties bij het overtreden van de AVG liegen er niet om. Bij het overtreden van de belangrijkste verplichtingen kunnen de boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Thole: “Schrikaanjagende boetes zou je zeggen, maar je kan dat misschien ook een beetje vergelijken met de waarschuwing op een pakje sigaretten. We weten allemaal wel dat we moeten veranderen, maar toch gaan we nog even op de oude voet door. De vraag is daarom of de hoge boetes organisaties daadwerkelijk gaan aanzetten tot gedragsverandering.”

De angst voor reputatieschade is misschien een betere drijfveer voor organisaties om aan de AVG te gaan voldoen, denkt Thole. “Onderzoeken van de toezichthouder worden doorgaans openbaar gemaakt. Dat trekt natuurlijk negatieve aandacht. Nog beter zou het zijn indien organisaties zich gaan realiseren dat wanneer zij de gegevens niet op de juiste wijze verzamelen, zij deze niet meer mogen gebruiken. Als je bedrijfsvoering daarop gebaseerd is, dan heb je een groot probleem.”

Privacy expertise

De ingewikkelde privacyregelgeving vraagt om de juiste specialistische aanpak. Thole: “Met ons Privacy Team kunnen wij met de cliënten kijken welke aanpak het beste bij hun organisatie past. Daarbij is relevant om vooraf goed vast te stellen waar de cliënt naar toe wil werken. Ons team is daarbij zo ingericht dat we op de verschillende sectoren ingezet kunnen worden. Met onze ervaring kunnen we organisaties op een pragmatische wijze naar de eindstreep helpen, maar ook om daarna aan de AVG te blijven voldoen. Alleen op die manier benut je ook op de lange termijn al je innovatiekansen.”

Fotograaf: Huib van Wersch