De AVG is een verordening (Europese wetgeving). En omdat het hier gaat om wetgeving, wordt het onderwerp ‘Privacy’ vaak als eerste bij legal in de schoenen geschoven. Als er al een privacy-officer of functionaris gegevensbescherming aanwezig is, dan zijn zij degenen die maar moeten zorgen voor de compliance.
“Zorg jij maar even dat wij aan de wet voldoen en dan kunnen we weer door met onze werkzaamheden”.
Zo letterlijk heb ik het nooit gehoord, maar vaak komt het daar wel op neer. Hierdoor voelen juristen en privacy-officers zich verantwoordelijk voor de compliance van de organisatie en als er iets misgaat worden zij als eerste aangekeken.
Dat is het verkeerde uitgangspunt!
De organisatie, vertegenwoordigd door het bestuur, is altijd als enige verantwoordelijk voor de compliance! Daar komt nog bij dat niet alleen de jurist of de privacy-officer aan zet is, maar dat de inzet van elke individuele medewerker nodig is om volledig in control te kunnen zijn. De compliance staat of valt uiteindelijk met je gedrag. Hoe ga je om met persoonsgegevens in je dagelijkse werkzaamheden? Let je extra op dat de juiste bijlage bij je mailtje zit?
En dat is nu precies waar de uitdaging zit als het gaat om die AVG. Hoe krijg je de gedragsverandering voor elkaar?
