Na vele jaren soebatten en een ongekend lobbygevecht heeft het Europees Parlement op 14 april 2016 de nieuwe Algemene Verordening Gegevensbescherming (AVG) aangenomen. Wij voorzien dat de formele verplichtingen daarin zo veel werk vereisen van organisaties om hun ‘privacylandschap’ in kaart te brengen, dat zij mogelijk niet of nauwelijks aan de vormgeving van de werkelijke databescherming zullen toekomen.

Veel van de nieuwe verplichtingen zijn procedureel en formeel, of zelfs bureaucratisch van aard. Zo lijkt het alsof organisaties kunnen volstaan met geparafeerde afvinklijstjes en het creëren van een administratieve, papieren werkelijkheid. Je zit goed zolang je als organisatie op elk moment het overzicht hebt, en als je in staat bent om te laten zien wie er in je organisatie welke persoonsgegevens gebruikt, waarvoor en op welke wijze.

Die administratieve werkelijkheid levert op zichzelf natuurlijk geen effectieve privacybescherming op... ...Veel lastiger is het voor organisaties om daadwerkelijk vorm te geven aan beginselen als ‘privacy by design’, en voor toezichthouders om de toepassing ervan te handhaven. Deze stap van ‘gegevensboekhouding’ naar materiële privacybescherming vereist een proactieve benadering van de inrichting van systemen en processen: niet alleen achteraf in kaart brengen wat er al is, maar vooraf bepalen hoe de privacybescherming beter kan.

Hierin zien wij de belangrijkste ‘inhoudelijke’ bijdrage van de Verordening aan bescherming van de persoonlijke levenssfeer van de burger. Ook al erkennen we dat organisaties zicht moeten hebben op het gebruik van persoonsgegevens, toch achten we het risico levensgroot dat de focus op de formele verplichtingen de daadwerkelijk betere omgang met persoonsgegevens naar de achtergrond zal laten verdwijnen.

Alles bij de bron; NetKwesties