Nu de AVG of GDPR alweer een dik half jaar oud is, hebben veel bedrijven een intern evaluatiemoment. Wat is er op het gebied van gegevensbescherming ten goede aangepast, wat moet beter, welke problemen voorzien we?
Een van de meest in het oog springende gevolgen van de AVG is dat de macht over persoonlijke gegevens terug is bij de consument. Hij blijft de eigenaar van zijn gegevens. Niet alle bedrijven gaan daar even goed mee om. Afgelopen zomer benaderde een journalist van de Volkskrant tien bedrijven met de vraag wat er met zijn gegevens gedaan werd, en waarom. Hij kreeg maar zelden volledig antwoord, áls hij al antwoord kreeg.
Een van de eerste ontvangers van een flinke AVG boete was (natuurlijk) een bank. De Autoriteit Persoonsgegevens gaf InsingerGilissen Bankiers (voorheen TGB) een boete van 48.000 euro omdat de bank herhaaldelijk weigerde een klant zijn persoonlijke gegevens in te laten zien. Mijn eerste vraag is dan: wat voor vreselijks heeft die bank in het dossier van de klant gezet? Was het een lastige klant die ook voor de inwerkingtreding van de AVG al met onmogelijke vragen kwam? Of zette de accountmanager schofferende aantekeningen bij de persoonsdata? We zullen het waarschijnlijk nooit weten.
Wat wél aan het licht kwam toen ik mijn internetprovider om mijn persoonsgegevens vroeg, is dat de manier waarop deze data aan de klant wordt gestuurd flink wat verbetering behoeft. Ik kreeg een vriendelijke mail met een link naar de pdf met mijn gegevens erin. Alles was compleet. Echter, het versturen van een mail met een document vol privacygevoelige informatie die op geen enkele wijze beveiligd is, is natuurlijk datalekvalkuil nummer één. Een mailaccount is namelijk zeer onveilig. Een document dat gevoelige informatie bevat en via de mail gedeeld wordt, moet altijd geëncrypteerd en met een wachtwoord beveiligd zijn. Daar is een hele goede oplossing voor, en die is niet eens lastig te implementeren. Waarom wordt deze niet overal standaard gebruikt?
De meest voor de hand liggende reden is dat veel bedrijven druk bezig zijn met het intern op orde brengen van het bewaren en bewerken van persoonsgegevens. Omdat er vaak meerdere systemen zijn die deze data opslaan, is het een flink gepuzzel om alles correct en volgens de AVG te regelen. Veel organisaties zijn het niet gewend om gevoelige data met derden (of de klant) te delen. Dus denken zij er ook niet over na hoe dit proces veilig kan en móet. De Autoriteit Persoonsgegevens is echter geen slapende waakhond, en wel degelijk in staat flinke boetes uit te delen. Nu de AVG een half jaar oud is, wordt het echt tijd voor alle bedrijven en instanties om na te denken hoe zij op een veilige wijze online documenten kunnen delen. Wij hebben het antwoord al.