100% Privacy compliance kan niet
Deze titel is geen dreigement, niet bedoeld als ontnuchtering na dronkenschap en al helemaal geen doemdenken. Maar wel waar!
Nu de nieuwe privacy wetgeving per 25 mei in werking is getreden, siddert menig ondernemer en bestuurder indachtig de boetes en de aansprakelijkheid die met de AVG zijn gemoeid. Dus ligt het voor de hand om die ene vraag te stellen: “Zijn we nu 100% compliant”?
Maar die vraag wil je nu net niet beantwoorden. Waarom niet? Het antwoord kan niet anders dan ‘nee’ zijn. Waarom?
De privacy wetgeving bestaat uit open normen. Begrippen als ‘adequaat’ en ‘passend’ zorgen voor onduidelijkheid. Op veel punten is gewoon nog niet bekend wat goed genoeg is. Er zijn veel meningen, wat vooral duidelijk maakt dat dingen nog niet duidelijk zijn. En ook de toezichthouder is niet altijd consequent in zijn uitspraken.
Er zijn geen uitontwikkelde kaders om compliance aan te toetsen. Gelukkig komen wel de eerste normenkaders beschikbaar, bijvoorbeeld van NOREA of het CIP. Maar deze normenkaders toetsen vooral de volwassenheid van je privacy processen. Oftewel: ‘of je goed bezig bent’. Maar ze toetsen nog niet: ‘zijn ze effectief’. Want stel maar eens de vraag: ‘wat is de kans dat in mijn organisatie het komende jaar zich een datalek voordoet’. Er is geen normenkader dat die vraag kan beantwoorden.
Compliance is altijd een momentopname. Want als je vandaag compliant bent, ben je dat morgen dan ook? De wereld staat niet stil. Interpretaties en omstandigheden ontwikkelen zich, organisaties ontwikkelen zich, de maatschappij ontwikkelt zich…
Aan de eerste twee punten wordt gewerkt, dus daar zal nog wel verbetering komen. Maar het laatste is veel weerbarstiger. Dus misschien komen we ooit wat stappen verder, maar 100% privacy compliance? Nee. Dat is niet realistisch.