AVG: mensen zijn zelf het moeilijkst te dichten datalek

Morgen (25 mei) is het zover. Na twee jaar van overbruggingsperiode – hoeveel mensen wisten dat we aan het overbruggen waren? – zal 25 mei alles anders worden… De GDPR, AVG in Nederland genoemd, treedt dan in heel Europa formeel en in al z’n glorie, in werking.
Ik herinner mij - en met mij wellicht ook sommigen van u - de aanloop naar Y2K, het einde der tijden dat zich ergens begin 1999 manifesteerde als de grootste schok der schokken. Adviesbedrijven schoten als paddenstoelen uit de grond, beurskoersen van partijen die zich bezighielden met het onmogelijke explodeerden en de wereld sidderde van angst. Zo voelt het inmiddels ook al enkele maanden met deze AVG die in werking treedt: elke derde reclamespot op de radio gaat over het AVG-klaar zijn, het regelmatig controleren van uw data etc.

Er verandert natuurlijk helemaal niets als het goed is op 26 mei, de dag na 25 mei. U bent als het goed is al jaren prudent omgesprongen met uw donateurs, uw aanvragers, uw medewerkers en uw bestuursleden… toch? De wet is immers vooral een iets strengere (meer kansen op boetes, dus handhaving) versie van hetgeen het College Bescherming Persoonsgegevens ooit al van u verlangde.

Maar er is in vergelijking met Y2K wel degelijk iets anders dit keer. Laten we vooral niet denken dat we deze paniek wederom kunnen oplossen door slechts wat technische aanpassingen in het digitale hart van ons (bedrijfs)even en alleen maar hoeven te leunen op wat verwerkersovereenkomsten, andermans certificaten, normeringen en ISO kenmerken..

Dat awareness-verhaal (van die usb stick die je eigenlijk niet in de computer had mogen prikken om een presentatie uit te draaien en dat virus de organisatie mee in te helpen; of dat onverstandige thuiswerken op een onbeveiligd WiFi-netwerk) is natuurlijk de crux. Ons gedrag en handelen dienen toch echt aangepast te worden…
Mijn vorige, en wat mij betreft enige andere, column over het onderwerp was een pleidooi voor die awareness en daar borduur ik graag op voort. Eerlijk is eerlijk, zoals Herman Finkers er ooit al over zei: ‘sommige verhalen zijn voor ín het haardvuur’, ik hoop vurig dat we door dit hele AVG-proces met z’n allen nog prudenter zullen omgaan met klant-, donateur- en overige persoonsgegevens, als ware het onze eigen gegevens. Want ja, privacy is een groot goed. En in deze tijden van verhoogd cameratoezicht op straat, sleepwetreferenda en ge-targete advertenties over ‘comfortstoelen thuis’ omdat uw vader eventjes op uw computer naar wat informatie gezocht had, is het borgen van data die echt niemans anders aangaat, van belang voor ons allemaal.

En nu we er ineens achter komen dat foto’s (vooral van kinderen) niet langer meer zonder toestemming gepubliceerd mogen worden (mocht al niet); we van iedereen ineens toestemming nodig hebben om op mailinglijsten te blijven (waar we allang niet van mochten uitgaan), nu zijn we gelukkig eindelijk een beetje in paniek.
Soms heb ik het idee dat we als maatschappij ook collectief ‘dommer’ aan het worden zijn. We accepteren lukraak toch wel elke 60 pagina’s tellende servicevoorwaarden op onze telefoon en we laten graag onze gegevens achter op ‘bel me terug-sites’. Hoeveel mensen kijken er nu of er achter een https://website ook daadwerkelijk een certificaat zit? En als iets dat op software werkt, niet onmiddellijk doet wat we ervan verwachten (zonder dat we enige instructie tot ons hebben willen nemen), dan doet dat ding het niet.. Don’t make me think lijkt het nieuwe maatschappelijke mantra geworden.

Mensen werken met data; mensen misbruiken data, dus wij mensen zijn naar alle waarschijnlijkheid ook het moeilijkst te dichten data-lek.
De afgelopen maanden hebben wij bij ons op kantoor een handboek laten schrijven; gaan we nu periodiek trainingen geven aan onszelf over vertrouwelijkheid en het voorkomen van datalekken. En we hebben natuurlijk onze verwerkersovereenkomsten gemaakt, geleund op die van onze sub-verwerkers en overige partijen en we zullen regelmatig onszelf ervan moeten vergewissen dat de boel veilig is. We gingen al overal prudent mee om, maar op een of andere wijze zijn ook wij gevallen voor de Angstgegner die AVG heet.
Veiligheid bestaat niet voor 100% en dat is ook niet erg. Mensen zetten hun gehele leven op social media, linken er op los, posten wat ze posten kunnen, twitteren en tweeten en laten zo veel meer over zichzelf zien dan enige organisatie ooit zomaar zou blootgeven over haar klanten, mensen of middelen. Laten we vooral blijven posten, tweeten en publiceren, maar als sector dan vooral op andere vlakken: wat we met onze stichting allemaal doen in enig jaar, wat ons drijft, wie we helpen en hoe je mee kunt doen.

Laten we voorzichtig blijven met alle informatie die we opslaan en ons continu de vraag blijven stellen waarom we toch alles willen bewaren of denken dat weggooien nooit de verstandigste optie kan zijn? Laten we vooral mensen blijven, met onze onvolkomenheden, onze oprechte en niet altijd handige pogingen om zaken beter te maken, mensen te informeren. En laten we vooral niet denken dat we alles maar aan machines en algoritmes moeten overlaten omdat dat veiliger is. Veilig is één adresboekje, in je tas, waarin je informatie opschrijft. Weliswaar kun je die verliezen, maar ook dan heeft slechts één iemand die informatie. Het wordt pas eng als we online gaan zien als veiliger.

Ik wens u Y2K’esque naweeën vanaf aankomende zaterdagochtend: het heerlijke gevoel van ‘er lijkt wel niets aan de hand’ en vooral heel veel succes met het ophalen van gelden voor uw doelen, het informeren van geïnteresseerden over hoe u de gelden besteedt en zo min mogelijk verwerkersovereenkomsten, -registers, datalekprotocollen, auditrapportages, NEN/ISO/ISAE normeringen en certificeringen..
Lang leven de onvolmaaktheid!

Meer columns lezen van DDB-Expert Governance & Finance Roderik Bolle? Klik hier.