Dankzij de katalyserende werking van de AVG/GDPR realiseren steeds meer mensen zich dat hoe we nu omgaan met dataprivacy bepalend is voor hoe toekomstige generaties zich in deze wereld kunnen bewegen. Fatsoenlijk omgaan met persoonsgegevens wordt de norm en iedere organisatie zal aan deze norm moeten voldoen. Logisch dus dat we met z’n allen naarstig op zoek zijn naar hulpmiddelen voor AVG-compliance en goed privacy management.
Naast begrip voor en inzicht in dataprivacy in relatie tot het eigen werkterrein, vormt het implementeren van (verbeter)maatregelen zoals een goed privacy beleid en een juridisch beproefd verwerkingsregister een grote uitdaging voor organisaties. Wat daarbij opvalt is de neiging om het onderwerp dataprivacy ‘geïsoleerd’ op te pakken.
Misschien kun je dit niemand kwalijk nemen, de overheid brengt het onderwerp immers ook op een geïsoleerde manier onder de aandacht, maar toch zou je verwachten dat men intussen wel beter weet. Waar kwaliteitsmanagement zich ooit vooral bezighield met ‘de kwaliteit van producten en diensten aan klanten’ kwamen daar de afgelopen decennia steeds meer taken bij. Door de ontwikkelingen op het gebied van Arbo & Milieu werd de kwaliteitsmanager een KAM- of QHSE-manager. De klantgerichtheidshype legde een verbinding tussen kwaliteitsmanagement en processen als feedbackmanagement, CRM en marketing. En wat meer recent zorgde de nieuwe ISO 9001-norm ervoor dat dat de kwaliteitsmanager een flinke stap richting risicomanagement moet gaan maken, een transitie die nog volop gaande is.
Langzaamaan raken we ervan doordrongen dat ook vakgebieden als Business Continuity Management en Governance, Risk & Compliance niet los van kwaliteitsmanagement kunnen opereren. Integratie wordt de nieuwe standaard. Alleen op die manier kunnen we voldoen aan de steeds complexer wordende eisen en het almaar toenemend aantal stakeholders. De roep om managementsystemen terug te brengen naar hun essentie klinkt daardoor steeds harder door. Het zijn hulpmiddelen die bij moeten dragen aan het verwezenlijken van de organisatiedoelen, geen doelen op zich.
Voor het vakgebied privacy management is dat natuurlijk niet anders. De AVG/GDPR is geen doel op zich, het gaat om de geest van de wet. Privacy raakt ons allemaal en het is goed dat we beschermd worden. Omdat dat niet vanzelfsprekend blijkt, zijn regels nodig. Regels die duidelijkheid geven en bijdragen aan een veiligere samenleving. Het doel is niet het uitvoeren van de regel, maar het verbeteren van de samenleving. ‘Gewoon’ fatsoenlijk omgaan met elkaars gegevens als nieuwe kwaliteitseis.
Toch lijken we het onderwerp dataprivacy op dit moment volledig geïsoleerd en als doel op zich aan te pakken. De datum 25 mei 2018 hangt als een zwaard van Damocles boven ons hoofd. Vanuit angst voor boetes en imagoschade voeren we in een sneltreinvaart maatregelen door om er maar zeker van te zijn dat we straks geen risico lopen. Alsof privacy management iets eenmaligs is dat je door even een ‘projectje’ te doen goed kunt regelen. Paniek voort veelal de boventoon. Wat als ik de boot mis? Wat als ik niet op tijd klaar ben? Ben ik wel volledig op de hoogte? Hoe gaat de Autoriteit Persoonsgegevens straks handhaven? Zijn de nieuwe regels niet in strijd met verplichtingen die voortvloeien uit andere wetten? We maken elkaar gek met juridische kaders en lijken het allemaal beter te weten. Eenoog is koning in het land der blinden. Maar onderhuids knaagt de onzekerheid.
Zijn we door de privacy hype uit het oog verloren waar het echt om gaat? Geloven we werkelijk dat de letter van de wet regeert? Verliezen we opnieuw de essentie uit het oog? De kern van ieder bedrijf is en blijft leveren wat de klant eist en verwacht. Zonder een intrinsieke motivatie voor kwaliteit in de breedste zin van het woord heb je als bedrijf feitelijk geen bestaansrecht. Dataprivacy is anno nu simpelweg een van de kwaliteitseisen waar rekening mee gehouden moet worden, niet meer en niet minder. Als je dat als bedrijf nog niet deed, is het creëren van de bewustwording en het initiëren, implementeren én borgen van (verbeter)maatregelen uiteraard best een flinke klus. Maar maak het niet ingewikkelder of groter dan nodig. En zoek aansluiting bij wat er al is.
Als de hype straks gaat liggen, zullen we wakker worden en terugkijken met een glimlach en misschien ook wel een klein beetje schaamrood op de kaken. ‘Was er echt een moment dat we helemaal in de ban waren van de AVG/GDPR?’, ‘Hadden we echt het idee dat we dit als geïsoleerd thema konden oppakken?’ Tegen die tijd heeft onze angst plaatsgemaakt voor vertrouwen. Bemerken we dat de privacy wet ons allemaal op persoonlijk niveau een gunst heeft verleend. Fatsoenlijk omgaan met persoonsgegevens is dan iets dat net zo vanzelfsprekend is als goede arbeidsomstandigheden en maatregelen gericht op een beter milieu. Een integraal onderdeel van het (kwaliteits)managementsysteem van iedere organisatie. Bedrijven komen er niet meer mee weg als er op dit vlak wordt ‘gesjoemeld’. Op dat moment is de ware geest van de wet opgestaan. Tot die tijd ploeteren we nog even een tijdje door.
Wendy Geurkink, smile.nl
Gerelateerde artikelen
Compliance & Governance
Gyuri Vergouw
Governance: geschreven én ongeschreven regels!
Stefan Zoeteweij
Hoe de sociale impact van je bedrijf vergroten
Rosanne Noumon
Kom met uw praktijkervaringen op het terrein van managen en organiseren
Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)
Word een pro!
SCHRIJF MEE >>