In de afgelopen jaren hebben veel organisaties de nodige maatregelen genomen om te voldoen aan de aangescherpte Europese wetgeving rondom persoonlijke data, de AVG. Denk aan een register van verwerkingen van persoonlijke data, het aanstellen van een Functionaris Gegevensbescherming of privacy coördinator, maar ook het inrichten van een gedegen proces voor het signaleren en afhandelen van datalekken.
In veel gevallen leidt het voldoen aan de wetgeving en het succes van dergelijke trajecten, tot een verhoogde volwassenheid van de interne data-organisatie en een bepaalde vorm van awareness op het thema. Het voldoen aan de AVG is door veel bedrijven en overheden echter regelmatig gepercipieerd als een “moetje”. Hierdoor wordt er enkel gekeken naar de minimumvereisten van de wetgeving en worden deze uitkomsten nauwelijks elders in de organisatie toegepast als basis van verbetering en vooruitgang. Op die manier kosten AVG implementaties vooral veel geld, waarbij organisaties verbeterpotentieel en omzet laat liggen.
De kruisbestuiving met aanpalende thema’s wordt hierbij dan ook gemist. Een goed voorbeeld is het verwerkingsregister. Deze weergave van bedrijfsprocessen die persoonsgegevens verwerken richt zich niet alleen op processen zelf. Ook de eigenaar van de data en de systemen waar deze data zich in bevindt is hierin verwerkt. Wanneer een organisatie werkt aan de verbetering van datakwaliteit of het rationaliseren van de IT of data-architectuur, is het verwerkingsregister een ideaal startpunt. Ditzelfde geldt voor de principes rondom de organisatie van data (data-eigenaarschap, proceseigenaarschap, escalatiekanalen voor data gerelateerde problematiek zoals datalekken). Dit kan direct worden toegepast in de vorm van een goede data governance. Of neem de awareness programma’s rondom de AVG; deze hadden niet alleen de bewustwording op het gebied van het gebruik van privacygevoelige data kunnen aankaarten, maar ook het meer algemene belang van datakwaliteit voor de gehele organisatie.
Kortom, het is een gemiste kans om niet maximaal te profiteren van de tijd en het geld dat wordt geïnvesteerd in AVG-compliance. Voor een financiële instelling bijvoorbeeld zal de compliance aan wet- en regelgeving altijd een breder thema zijn dan enkel de AVG. Hiermee wordt het onderdeel van de afweging van risico’s waar ook datamanagement een onderdeel in is. In een productiebedrijf kan de kwaliteit van (master) data en procesefficiëntie juist aanleiding zijn om vanuit de AVG te richten op een meer data gedreven operatie en businessmodel. Door de AVG-activiteiten te integreren in de realisatie van een duidelijke datastrategie en bijbehorende prioritering, kan het AVG-traject de start zijn van een meer data gedreven organisatie.
Over Nick Martijn
Nick is Business Unit Manager bij CRANIUM Nederland. Nick adviseert, samen met een team van adviseurs, organisaties bij vraagstukken rond Data Management, Data Security en Data Privacy. Hij bekijkt de thema’s niet alleen als een wettelijke verplichting maar juist als kans om organisaties te laten groeien, waarbij hij inzet op helder en praktisch toepasbaar advies.