Dag van de Privacy: hoe actueel is jouw AVG eigenlijk?

Toen in 2018 de AVG van kracht werd, hebben veel organisaties in korte tijd hun zaken op orde gebracht. Verwerkersovereenkomsten werden afgesloten, registers gevuld en verantwoordelijkheden vastgelegd. Privacy stond hoog op de agenda, en terecht.

Nu, een aantal jaar later, is privacy voor de meeste organisaties geen dagelijks gespreksonderwerp meer. Ondertussen zijn systemen veranderd, processen aangepast en samenwerkingen uitgebreid. En daarmee ook de manier waarop persoonsgegevens worden verwerkt.

Op 28 januari, de Dag van de Privacy (Europese Dag van de Gegevensbescherming), is het een goed moment om even stil te staan bij de vraag: sluiten de AVG-afspraken die je ooit maakte nog aan op hoe je organisatie vandaag werkt?

Even terug naar 2018

Die AVG-golf kwam niet uit de lucht vallen. Organisaties verzamelden en deelden steeds meer persoonsgegevens, terwijl burgers weinig grip hadden op wat er met hun data gebeurde. Met de invoering van de AVG werd privacy daarom een stuk concreter: meer rechten voor mensen, meer verantwoordelijkheid voor organisaties.

In veel organisaties betekende dat een duidelijke koerswijziging. Privacy werd niet langer iets dat je ‘erbij’ deed, maar een vast onderdeel van professioneel organiseren. In de kern zegt de AVG: verwerk persoonsgegevens bewust, minimaal en transparant en zorg dat je kunt laten zien dat je dat goed doet.

Wat moest er toen vooral op orde komen? De basis:

Weten welke persoonsgegevens je verwerkt en waarom (verwerkingsregister + grondslag/doel);
Passende beveiliging en een proces voor datalekken;
Duidelijke afspraken met leveranciers (verwerkersovereenkomsten);
Een werkbaar proces voor rechten van betrokkenen (inzage, correctie, verwijderen);
Eigenaarschap: wie gaat hierover en wie handelt?

Waarom verwerkersovereenkomsten vaak stil blijven liggen

Na de AVG-inhaalslag was bij veel organisaties het gevoel: het staat. De basis lag er, de audits kwamen door en er was weer ruimte voor andere prioriteiten. Maar verwerkersovereenkomsten regel je niet één keer. Ze zijn het bewijs van afspraken die mee moeten bewegen met je organisatie. En die organisatie verandert gewoon door.

Daarom zie je in de praktijk vaak hetzelfde patroon: vrijwel elke organisatie heeft verwerkersovereenkomsten met leveranciers en partners. Vaak netjes opgesteld, gebaseerd op standaardtemplates en destijds goedgekeurd door Legal (de juridische functie: jurist/juridische afdeling of extern juridisch advies). Maar wie weet nog wat er precies in staat?

In veel organisaties liggen ze ergens opgeslagen: in SharePoint, in een mapje of in een mailbox. Ze zijn er wel, maar ze leven niet. Je herijkt ze zelden en koppelt ze nauwelijks aan hoe er vandaag de dag gewerkt wordt. Dat merk je bijvoorbeeld aan dit soort signalen:

Afspraken zijn gebaseerd op de situatie van jaren geleden;
Niemand is eigenaar van het document in de praktijk;
Wijzigingen in processen worden niet doorvertaald naar privacy-afspraken;
Controles gebeuren pas bij audits of incidenten.

Ondertussen veranderde alles

En precies daar wringt het: afspraken blijven vaak hetzelfde, terwijl de praktijk doorontwikkelt. Sinds 2018 zijn organisaties anders gaan werken. Er kwamen nieuwe systemen, cloudoplossingen en samenwerkingen. Data wordt vaker gedeeld, ketens zijn complexer geworden en AI-tools doen hun intrede in het dagelijks werk. Ook hybride werken heeft invloed op hoe persoonsgegevens worden verwerkt.

De manier waarop data door je organisatie stroomt, is dus veranderd. Maar de afspraken over die data zijn vaak hetzelfde gebleven. Dat maakt privacy kwetsbaar. Niet omdat mensen het niet belangrijk vinden, maar omdat niemand het overzicht heeft.

Privacy is een organisatievraagstuk

Als processen, systemen en leveranciers veranderen, verandert privacy automatisch mee. Toch behandelen veel organisaties het nog steeds alsof het een juridisch document is dat je ‘een keer regelt’.

Wat we vaak zien: niemand voelt zich eigenaar. En zonder eigenaarschap blijft privacy iets op papier. Goede gegevensbescherming vraagt daarom om organisatie-inrichting. Niet ingewikkeld, maar scherp. Bijvoorbeeld door dit soort vragen te beantwoorden:

Wie is eigenaar van welke verwerkersovereenkomst (en van welke datastroom)?
Wie signaleert veranderingen in tooling, processen of leveranciers?
Wanneer herijk je afspraken en wie zit dan aan tafel?

Reality check

De Dag van de Privacy is daarom een uitnodiging om terug te kijken: klopt wat we ooit afspraken nog met hoe we vandaag werken? En belangrijker: hebben we het zo ingericht dat het actueel blijft, ook als de organisatie verandert? Als je eerlijk bent, is de vraag dus niet alleen: is onze AVG nog actueel? De echte vraag is: hebben we privacy zo georganiseerd dat we het kunnen bijhouden?

Daar zit precies onze expertise. Bij SBMC benaderen we privacy en AVG vanuit organisatieadvies: we zetten eigenaarschap, processen en samenwerking (business – IT – juridisch) zo neer dat privacy geen project is, maar een werkend onderdeel van de organisatie.

Wil jij weten hoe actueel privacy en gegevensbescherming binnen jouw organisatie echt zijn, en wat je nodig hebt om het structureel te borgen? Neem dan contact op met SBMC. We helpen organisaties met organisatieadvies rondom privacy en AVG. Praktisch, werkbaar en passend bij hoe je organisatie is ingericht. Dan kijken we samen waar het vastloopt en hoe je het goed organiseert.

Over SBMC: SBMC Organisatieadvies en SBMC Inkoopadvies helpen organisaties bij het slim innoveren, professionaliseren of simpel weg het goed uitvoeren van hun primaire en ondersteunende taken. Waar we met SBMC Organisatieadvies focussen op het adviseren over en implementeren van ISO-certificeringen, adviseren over duurzaamheid en informatiebeveiliging, focust SBMC Inkoopadvies zich op het adviseren van organisaties op het gebied van inkoop. Publieke organisaties zijn bij SBMC Inkoopadvies aan het juiste adres als ze echte experts zoeken op het gebied van Europees aanbesteden.