De AVG in een transformatorische tijd

De Algemene Verordening Gegevensbescherming (AVG) is afgeleid van de Europese variant, de GDPR, en vervangt de Nederlandse Wet Bescherming Persoonsgegevens (WBP) op 25 mei 2018. De AVG brengt ten opzichte van de huidige Europese privacy-richtlijnen een relevant aantal wijzigingen met zich mee die binnen overheden en organisaties moeten worden geïmplementeerd en geborgd.

Tot zover niets nieuws onder de horizon. Er zijn talloze artikelen die op deze manier starten en vervolgens een 10-punten lijst laten zien, die dikwijls begint met de breedte van de Europese werkingssfeer om ‘inspirerend’ af te sluiten met de hoogte van de boetes die de Autoriteit kan opleggen. Voor Nederlandse organisaties is op deze manier de AVG net als een rood verkeerslicht in Amsterdam; een goedbedoeld advies. Wilt u wél lijstjes doornemen, dan is verder lezen echt nutteloos en zonde van dit artikel.

Identiteit
In de kern van de AVG gaat het over mensen; mensen zoals u en ik. Mensen met werk, een inkomen, verplichtingen, familie en dromen. Dromen die op de tocht komen te staan als met de identiteit wordt gefraudeerd. En dát is de kern van de Europese GDPR. Een ander perspectief en een inspirerend perspectief dan alleen maar extra werk en een financieel zwaard van Damocles. Het gaat over informatie van mensen dat wordt vastgelegd in systemen die niet per definitie de toets van de internationale hacking-community kunnen doorstaan. Het gaat over onze identiteit en hoe je die voor jezelf kunt houden in een periode van digitale transformatie. Het gaat om mensen en bedenk dat u, uw vader of uw dochter, één van die mensen is.

De AVG in haar kern:

  • Welke informatie hebben we van mensen?
  • Hoe gebruiken we die informatie?
  • Hoe behandelen we mensen eerlijk en oprecht?
  • Hoe gaan we om met de risico’s?
  • Op welke wijze informeren we mensen wat we doen?

Duurzame informatie
Het gaat dus om Duurzame Informatie © en dát is een nieuw kader voor overheden en organisaties, juist omdat informatie zo normaal en fluïde is. Wij zijn helemaal niet opgegroeid met het begrip informatie als asset, maar worden er in deze transformatorische tijd wel in ondergedompeld. Dat gaat zó snel dat het fundament onder een nieuwe perspectief nog ontbreekt. Zodra je immers begint over de bedrijfseconomische waarde van informatie, de ‘controls’ die nodig zijn om de digitale veiligheid te verbeteren en het overtuigend bewijs daarop, wordt het beeld heel mistig.

Er is nog een tweede en ook mooi perspectief te schetsen, waardoor organisaties vanuit een bedrijfseconomisch argument aan de slag gaan met de AVG. Informatie heeft waarde en méér data heeft méér waarde. Alleen heeft de wijze waarop organisaties dataverzamelingen aanleggen te veel weg van ‘information hoarding’ (een psychiatrische stoornis, maar dan geprojecteerd op een organisatie). En dát is nu eenmaal niet de bedoeling omdat Duurzame Informatie © over mensen gaat en niet over organisaties; hoe goed bedoeld ook.

Het mooie van de AVG is daarom ook dat de AVG de organisatorische doelen helemaal niet in de weg wil staan. De AVG moedigt digitaal bedrijfsmatige ontwikkelingen juist aan, maar wel op de juiste manier zodat gegevens van mensen omringd worden door betekenisvolle maatregelen. Dus als u in de informatie-business zit of zich wilt gaan begeven (… and who isn’t…), begin dan bij het begin: Privacy als nieuw ontwerpprincipe van digitale systemen, nieuwe producten of processen. Als u het vastleggen van privacygevoelige gegevens beter doet dan uw concurrent mag u dus ook méér informatie vasthouden en méér data is méér waarde.

Tot slot, de lijstjes-mensen zullen dit laatste principe herkennen als: “Privacy by default’.

 

 

© Cryptagon, 2017

 

Leave a comment