Sinds vrijdag is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Organisaties ‘moeten daar iets mee’, en hun medewerkers dus ook. Het aanpassen van werkprocessen en privacy statements is één, maar hoe pak je de interne communicatie aan, ook voor de lange termijn?

door Ton van Leeuwen

Plakboeken vol suikerzakjes, stapels oude Volkskranten en een tas vol afgestempelde treinkaartjes. Regisseuse Digna Sinke houdt al haar hele leven van verzamelen. Ze maakte er de film Bewaren over, waarin ze onder meer een aantal ontroerende gesprekken voert met haar 92-jarige moeder. Samen ontdekken ze hoe allerlei simpele ‘dingen’ tijdmachines kunnen zijn die ver weggeraakte herinneringen weer boven kunnen brengen.

Wie wat bewaart, die heeft wat (uit te leggen) - AVG

Vorige week bezocht ik deze film in de bioscoop. Daar zag ik hoe de film ook een link legt met het heden. Naar ‘de nieuwe mens’, die zich afzet tegen de consumptiedrang van de grote massa en bij wie het niet meer om materiële dingen gaat, maar om ervaringen: digitale nomaden en minimalisten die alleen nog een paspoort, bankpasje, laptop en telefoon bezitten.

Gegevens zijn de nieuwe spullen

Het lijkt een tegenstelling, bewaren of niet bewaren, maar het ironische is natuurlijk dat er in deze tijden meer bewaard wordt dan ooit. Alleen nu verpakt in enen en nullen. Gegevens zijn de nieuwe spullen. Informatie waar je bent geweest, je foto’s, je meningen, je netwerken… Bedrijven als Facebook en Google zorgen ervoor dat het automatisch wordt gerubriceerd en geïndexeerd en er wordt van allerlei plekken naar gelinkt. Zo worden dingen vaak makkelijker vindbaar dan je misschien zou willen.

Als ik bijvoorbeeld lekker ervaringen op sta te doen op een festival, worden er en zijn er al grote hoeveelheden data over mij verzameld en vastgelegd. Het kaartje dat ik gekocht heb via Ticketmaster, de OV-route ernaartoe, de pinbetalingen aan de bar, de artiesten die ik Google, de foto’s en filmpjes waar ik onbewust op kom te staan, de ‘Tikkie’ om de uitgaven te verrekenen met mijn vrienden. En dan zit ik nog niet eens op Facebook…

AVG van kracht

Niets voor niets is vanaf vrijdag de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe privacywetgeving is meer toegespitst op de digitale samenleving. Bedrijven moeten duidelijk (kunnen) maken welke gegevens ze verzamelen, met welk doel, en aan wie ze deze vervolgens verstrekken. Verder hebben ze meer verplichtingen bij het melden en voorkomen van datalekken en hebben burgers meer rechten gekregen. Bijvoorbeeld om gegevens op hun verzoek aan te passen of te laten verwijderen.

Deels kunnen bedrijven en andere organisaties deze zaken borgen met technologie. Met een digitaal inschrijfformulier kun je bijvoorbeeld instellen welke velden wel en niet in te vullen zijn, en zo afdwingen dat je van klanten en andere betrokkenen geen ‘ongewenste’ gegevens verzamelt. Toch blijft er ook een belangrijke rol voor het verantwoordelijkheidsgevoel van de medewerker. Zij moeten privacy continu in hun achterhoofd hebben en bijvoorbeeld ook kunnen inschatten of een zogenaamde verwerkersovereenkomst nodig is.

Communicatie

Communicatie dus. De afgelopen weken heb ik van dichtbij gezien hoe organisaties hier soms mee worstelen. Brancheverenigingen die hun bedrijven voorlichten en (grote) bedrijven die op hun beurt hun medewerkers zo goed mogelijk willen informeren. Organisaties moeten niet alleen hun privacy statement aanpassen en daar hun klanten over op de hoogte stellen, maar vaak (ook voor de lange termijn) een interne gedragsverandering bewerkstelligen. Hoe doe je dat bij zo’n taai onderwerp? Dat hoeft helemaal niet zo ingewikkeld te zijn.

  • Maak het praktisch

    Verspreid handige checklists (wat mag je wanneer wel en niet verzamelen en delen en met wie) en zorg voor een duidelijk aanspreekpunt binnen de organisatie voor de beantwoording van vragen.

  • Werk met voorbeelden

    Beschrijf vooral situaties die in de praktijk voor kunnen komen. Gewoon een kwestie van storytelling: verhalen blijven beter hangen en kunnen dus beter een boodschap over brengen.

  • Maak privacy iets van de hele organisatie

    Dat kan door te wijzen op het risico op hoge boetes, maar ook door in te spelen op de gedeelde verantwoordelijkheid en de maatschappelijke relevantie.

Dooddoener?

Met name de eerste twee adviezen hebben wel een belangrijke beperking. Doordat het belang van data en de technologische mogelijkheden nu zo snel veranderen, hebben praktische handvatten vaak maar een beperkte reikwijdte en houdbaarheid. Daarom eindigt communicatie over het omgaan met privacy vaak met de woorden ‘gebruik ook gewoon je gezonde verstand’. Dat lijkt misschien een dooddoener, maar is een belangrijke boodschap. Want of mensen iets willen bewaren, en met wie ze iets willen delen, is vaak iets heel persoonlijks en gebaseerd op emotionele overwegingen. Dat geldt van oudsher voor ‘spullen’ – zoals blijkt in de film Bewaren – en tegenwoordig net zo goed voor data, of het nu gaat om contacten, voorkeuren of ervaringen.

Daarom is het best gek dat die verzamel- en bewaarfunctie nu voor een groot deel bij bedrijven is komen te liggen. Gelukkig hebben we moderne, goed beveiligde technologie en met de AVG nu een nieuwe privacywetgeving. Maar ik ben blij dat er ook ruimte blijft voor menselijke keuzes. Voor organisaties en hun medewerkers, en óók voor iedere burger.