De bescherming van persoonsgegevens.
Bijna 4 jaar na de invoering van de AVG, de Nederlandse naam voor de Europese privacywet GDPR, weten nog steeds veel organisaties en ondernemingen niet hoe met de persoonsgegevens om te gaan om te voldoen aan de wet. Dit is zeer begrijpelijk omdat het moeilijk is om deze complexe wetgeving door te voeren in de praktijk. Het is gewoonweg moeilijk te begrijpen hoe intern alles ingericht dient te worden en hoe aan om alle verplichtingen kan worden. Dan hebben we het niet alleen over de inrichting van de gedigitaliseerde en analoge administratieve structuren maar ook over de instructies die aan de medewerkersmoeten worden gegeven om een optimale bescherming en beveiliging te realiseren van de opgeslagen persoonsgegevens waar mee gewerkt wordt.

Let wel. Het gaat om alle opgeslagen gegevens van natuurlijke personen. Dus naast de gegevens van klanten, patiënten en andere relaties gaat het ook om de gegevens van alle werknemers van al die organisaties, instellingen en ondernemingen. Eenvoudig gezegd gaat het om alle persoonsgegevens van alle EU-burgers die deze op grote schaal, elke dag weer, verstrekken.
Daarmee is iedere leidinggevende of bestuurder ook een burger die zijn of haar gegevens overal verstrekt en die moeten worden beschermd. De privacybescherming gaat ons dus allemaal aan. Het is een grondrecht en als zodanig onder andere ook vastgelegd in de Nederlandse grondwet en het Europese Handvest.

De rechten van de burger – een voorbeeld -
Een van de onderdelen in de AVG gaat over het recht van iedere verstrekker van gegevens om zijn of haar gegevens in te zien, te laten wissen, wijzigingen of te laten overdragen. De verstrekker kan ook de toestemming intrekken om nog langer met de gegevens te werken.
Wordt aan deze verzoeken niet voldaan, dan kan daar bezwaar tegen worden gemaakt en zelfs een klacht tegen worden ingediend. Het uiteindelijk gevolg kan zijn dat er een boete wordt opgelegd aan de onderneming of organisatie. De Autoriteit Persoonsgegevens bepaald dan de aard van de schending en de boete die daarbij hoort.
Wat hierboven wordt benoemd is een niet complex gedeelte van de verplichtingen die de AVG oplegt. Iedere ondernemer is hiervan inmiddels op de hoogte en zal zijn werknemers op dit vlak goed geïnformeerd hebben. Ook de verplichte registers en verklaringen, zoals het verwerkings- en datalekregister en de privacy en cookieverklaring op de website, zijn inmiddels gemeengoed geworden.

Schijnzekerheid
Maar met (eenvoudige) instructies aan medewerkers en het invoeren van verplichte documenten wordt de AVG-bestendigheid niet bereikt.
Eigenlijk is er dan slechts sprake van cosmetische handelingen waarmee de indruk wordt gewekt dat aan de AVG wordt voldaan. Maar waar het om draait in de privacywet, de maximale en optimale gegevensbescherming, is hiermee uiteraard niet gegarandeerd. Men kan ook zeggen: De rechten van de gegevens verstrekker zijn niet gewaarborgd.

Kosten kennis en tijd
Door de complexiteit van de wet en de tijd die het kost om deze eigen te maken is het een gemiddelde onderneming, instelling of organisatie niet aan te rekenen als er niet wordt voldaan aan de AVG. Er wordt nog steeds gewerkt aan producten of diensten te leveren waardoor een onderneming dit wel kan. En een specialist inhuren is niet voor iedere ondernemer weggelegd. Ook een specialist, een Functionaris Gegevensbescherming of Private Officer, heeft tijd nodig om alles naar een AVG acceptabel niveau te tillen. Dat is al het geval bij ondernemingen van beperkte omvang. Meestal neemt alleen al de inventarisatie van wat er moet gaan gebeuren behoorlijk veel tijd in beslag.

Het kapstokartikel voor de ondernemer
In artikel 24 lid 1 van de AVG wordt in hoofdlijnen beschreven wat er moet gebeuren. In de uitwerking van de AVG worden verwerkingsverantwoordelijken, ondernemingen, instellingen en organisaties onderscheiden. En opgesomd wat de eisen zijn waaraan moet worden voldaan.
De verwerkingsverantwoordelijke heeft de verplichting passende technische en organisatorische maatregelen in te voeren om te kunnen waarborgen en te kunnen aantonen dat de verwerking van de persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd. Kort gezegd; de infrastructuur
Met deze algemene terminologie moet men het doen. Vul het zelf maar in. Het wordt overgelaten aan de ondernemingen, instellingen, organisaties om dit te regelen.

Het komt er vrij vertaald in ieder geval op neer dat er intern alles aan gedaan moet worden om de aanwezige privacygevoelige gegevens maximaal en optimaal te beschermen. Dit raakt zowel de administratieve – als ook de ICT, infrastructuur. De wijze waarop het moet worden gedaan wordt verder niet ingevuld.