ZBC Kennisbank

Winnaars en verliezers bij de AVG

 

Ben je er ook ingetuind? Was je bang voor die torenhoge boete wanneer je op 25 mei niet aan de AVG zou voldoen? Opportunistisch als je bent, heb je gekozen voor de oplossing van een leverancier of van de branchevereniging. Dit zou het wondermiddel zijn om die boete te ontlopen.

Je hebt je best gedaan om de oplossing van de branchevereniging of leveranciers in te vullen en dat viel niet mee. De oplossing bleek vaak meer een leeg invulveld te zijn, jij moest het echte werk doen. Wat heb je er nu eigenlijk mee bereikt? Je hebt een papieren tijger gemaakt, die je ook nog moet onderhouden. Want je bedrijf en je informatievoorziening is een levend organisme. Zo’n papieren tijger wil je toch niet elk kwartaal een onderhoudsbeurt geven?

De eerste storm omtrent de AVG, is op 25 mei gaan liggen. Waarschijnlijk herkent iedereen de paniek die binnen bedrijven is ontstaan vanwege deze wetgeving. Er is veel geld verloren gegaan aan onduidelijk advies en softwaretools die geen oplossing bieden. De AVG is te pas en te onpas aangehaald uit onwetendheid, bij zaken die niets met persoonsgegevens te maken hebben. Terugkijkend op deze storm kunnen we de conclusie trekken dat de AVG meer heeft bijgedragen aan de omzet van softwarebedrijven dan aan de bescherming van persoonsgegevens.

Heb je baat bij een softwaretool voor de AVG?

In het kielzog van de AVG hebben softwareontwikkelaars hun kans gezien om hun tool aan de man te brengen. Tijdens beurzen, ontkwam je niet aan deze bedrijven met hun ogenschijnlijk goede oplossingen. Het idee daarachter is dat je, in de AVG-stress waarin je je bevindt, de keuze maakt om een abonnement te nemen op de oplossing voor de AVG. Kijk je hier kritisch naar, dan bieden deze applicaties niet de oplossing die je zoekt. Sterker nog, de meeste applicaties ontberen enige inhoud en zijn specifiek ingericht om slechts aan een deel van de AVG te voldoen. Je hebt er toch niets aan om maar aan een deel van de wetgeving te voldoen? Je bent op zoek naar de invulling voor jouw bedrijf.

De tarieven van veel van deze applicaties zijn gebaseerd op een prijsmodel waarin iedere maand betaald wordt, ongeacht het gebruik. De kosten verschijnen iedere maand op de kostenbalans van de organisatie. Dit, terwijl de oplossingen vaak niet meer zijn dan lege invulvelden en formulieren zoals verwerkingsregister, DPIA’s en privacystatements. In eerste instantie lijken de producten prijstechnisch interessant, maar op de lange termijn betaal je iedere maand geld voor lege documenten die je uiteindelijk zelf hebt moeten vullen. Interessant voor de softwareontwikkelaar van de SaaS applicatie, maar niet voor jou als afnemer of gebruiker. Daarnaast heb je vaak geen idee waar jouw gegevens blijven en hoe ze beveiligd zijn. Niemand zit te wachten op een datalek van de registraties van datalekken binnen jouw bedrijf, gewoon in eigen hand houden dus.

Maar hoe doe je het dan wel?

De AVG kan het best benaderd worden zoals iedere andere wetgeving. En laten we eerlijk zijn, je hebt ook geen softwareoplossing in gebruik voor milieuwetgeving of voor de Arbowetgeving. Het draait erom dat je voldoende inzicht hebt in de effecten van de wetgeving op jouw eigen organisatie. Dit inzicht kan bijvoorbeeld verkregen worden door het volgen van de cursus Privacy Officer in de praktijk . Belangrijk daarbij is zelf als management voldoende inzicht te hebben in deze wetgeving en het niet uit te besteden aan een medewerker onderin de organisatie. Alle kennis gaat dan immers verloren als de medewerker vertrekt.

Voor de benodigde documenten zoals het verwerkingsregister, DPIA’s en privacystatement kan gewoon gebruik gemaakt worden van Word, Excel of een andere spreadsheet of tekstverwerker. Hiervoor betaal je immers al een licentie en de inhoud van de documenten is veel belangrijker dan de opzet. Ook de inhoud van een verwerkingsregister is niet zo uniek, iedere organisatie met personeel verwerkt dezelfde soort gegevens van zijn personeel. Deze kan je zo aangereikt krijgen, zodat je alleen nog het unieke deel van jouw organisatie hoeft in te vullen.

Een andere mogelijkheid is het gebruiken van de kennis van anderen. Belangrijk is dan om eenmalig kennis in te kopen en de paadjes te leren gebruiken die binnen de organisatie al aanwezig zijn, zonder vast te zitten aan complexe constructies.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Rick Santbergen | 10 september 2018


3 Responses to “Winnaars en verliezers bij de AVG”

  1. Rick Santbergen schreef:

    Beste Chris,

    Zo’n reactie had ik natuurlijk van een leverancier van een softwareoplossing kunnen verwachten en ik begrijp dat dit lijstje de verkoopargumenten zijn.

    Aantoonbare procesborging komt niet vanuit een systeem, maar vanuit duidelijke afspraken, werkwijzen en controles.
    Een softwareoplossing is ook geen managementsysteem zoals ISO dit benoemd.
    Eiland politiek van de specialist is niet wat ik adviseer in dit artikel, de probleemeigenaar is het management en die moet voldoende op de hoogte zijn.
    Audit trail op integriteit is belangrijk voor de verwerking van persoonsgegevens en voor zaken als het verwerkingsregister geen risico voor kleine organisaties.
    Draagvlak komt niet door een softwareoplossing, maar vanuit het management en de organisatie.

    Met vriendelijke groet,
    Rick Santbergen

  2. Chris Haveman schreef:

    Geachte mijnheer Santbergen,

    Graag reageer ik op uw artikel “Winnaars en Verliezers bij de AVG”.

    Dat U (toekomstige) gebruikers van de AVG gerustgesteld kan ik waarderen. In sommige gevallen is in juridische zin deze wet zwaar aangezet.

    Echter met uw opmerking over het bijhouden in Excel ben ik het absoluut oneens om de volgende redenen:

    Met Excel geen aantoonbaar (toetsbare) procesborging vanuit omgekeerde bewijslast is een eis
    Met Excel geen management systeem
    Met Excel weer eiland politiek van de specialist
    Met Excel geen audit trail op integriteit
    Met Excel geen draagvlak in de organisatie
    Met Excel meestal geen eenvoud /intuïtief naar de ‘invuller’ de medewerkers
    Met Excel mbt verwacht certificering controle framewerk van CI geen ondersteuning.
    met vriendelijke groet

    drs. Chris Haveman
    +31621221173

  3. ing. H.J.M. L'Ortye CDPO schreef:

    Heldere en zeer pragmatische benadering. Zou iedereen een voorbeeld aan kunnen/moeten nemen.
    Ik onderschrijf uw werkwijze: gezond verstand gebruiken. Privacy hoeft niet duur te zijn!

    ing. H.J.M. L’Ortye CDPO
    Cerified Data Protection Officer

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *