Deze week is de Stichting AVG verenigingen opgericht. AVG is de afkorting die staat voor ‘Algemene Verordening Gegevensbescherming’. In mei 2018 gaat deze officieel van start, maar de voorbereiding is al volop aan de gang. Hoe relevant dit is, blijkt wel uit de wereldwijde aanvallen met ‘ransom software’ die in deze zelfde week plaatsvonden. Maar hoe bescherm je je gegevens zonder dat het onwerkbaar wordt? Rond de jaarwisseling realiseerden een paar mensen in verenigingsland zich dat de eisen die de AVG stelt wel erg veel gevraagd kunnen zijn. Om die reden is het initiatief genomen voor een laagdrempelige manier om toch ook als (kleinere) vereniging klaar te zijn voor de AVG. Als een van de betrokkenen, een eerste verslag.
Stel je bent secretaris van een lokale vereniging, in dit geval een patiëntenvereniging. Als vrijwilliger. Je vervult je rol met een groep fijne bestuurders om je heen, maar het is best wel pittig. Bijvoorbeeld als je te maken krijgt met een lid dat een mailinglijst van alle leden van de vereniging heeft gebruikt om een nog niet getest medicijn bij alle andere leden aan te prijzen. Wat een gedoe gaf dat. Ben je dan blij als je voorzitter in de bestuursvergadering vertelt dat zij in een door de koepel georganiseerde sessie heeft gehoord van een nieuwe privacywet en ‘dat we daar ook wat aan moeten doen’? Waarschijnlijk is je reactie dubbel. Enerzijds voel je nog meer dan de voorzitter de verantwoordelijkheid voor de ledenlijsten onder jouw beheer (en waarvan er zoveel niet op to date zijn, ai) en voel je ook nog dat er een serieus aansprakelijkheidsprobleem kan zijn. Aan de andere kant is er al zoveel dat je aandacht vraagt. Plus dat je, na wat langer nadenken, jezelf serieus afvraagt of je de andere leden ooit wel in de greep krijgt als het om de gegevens gaat, laat staan dat de privacy is gegarandeerd. Spaar me. In de vergadering hou je, zoals secretarissen vaak doen, nog even je mond. ‘Woeps’, zegt de vicevoorzitter, overdag werkzaam bij een grote accountantsfirma, ‘dan moeten we een functionaris aanstellen en echt aan compliance gaan doen’. ‘Dat is niet waar’, zegt de voorzitter prompt, die iets heel goed onthouden van de sessie, ‘dat geldt alleen voor grotere verenigingen, met veel professionals in dienst’. Voordat iedereen opgelucht adem haalt, zegt het lid met inhoudelijke deskundigheid echter, ‘Ik heb gehoord dat aan verenigingen als de onze, die patiënten-informatie hebben, extra eisen worden gesteld.’ ‘Hoe dan?’, zegt iemand. ‘Geen idee’, zegt een ander. ‘Kunnen we ons niet verzekeren?’, is de logische vraag van een nieuw bestuurslid, de donkere blik van de penningmeester negerend. ‘Vast wel’, zegt de voorzitter, die toch wel heeft opgelet, ‘maar ook dan moeten we kunnen laten zien dat we niet hebben afgewacht tot het mis ging. We moeten hoe dan ook zelf aan de bak.’ ‘Kent iemand een advocaat die het voor ons kan uitzoeken?’, klinkt het uiteindelijk. Nu gaat de penningmeester pas echt donker kijken.
Het zijn gesprekken als deze die zich de komende periode in menig bestuursvergadering zullen afspelen. Iedereen in verenigingsland kon het zien aankomen of heeft er al mee te maken gehad. De komst van de AVG maakt nu definitief concreet wat eigenlijk al gedaan had moeten worden, maar wat voor veel organisaties, en zeker voor (kleine) verenigingen in de praktijk een te grote opgave is. Toch kan je er niet meer omheen. Verhalen over enorme boetes spelen daar een rol bij, maar ook als die soep niet zo heet wordt gegeten als die nu wordt opgediend, waarover hieronder meer, dan nog gaat het nu wel om ‘het echie’.
Een klein groepje mensen in verenigingsland, waaronder ondergetekende (zie mijn blog van 30 oktober 2016 over ketenprivacy), hebben zich het afgelopen jaar al waarschuwend uitgelaten en zijn er over in gesprek gegaan. Daarbij hebben we ook tegen elkaar gezegd dat we niet moeten proberen om verenigingsland nog verder op te blazen met meer eisen, hoe terecht ook. Waar halen we nog de vrijwilligers vandaan die dit allemaal erbij willen doen? Dit gesprek is uitgemond in een initiatief dat zich in een razend tempo heeft vertaald in een aanpak en een stichting die zich wil richten op een echt laagdrempelige manier voor verenigingen om tot een ‘zelfverklaring’ te komen over de eigen inspanningen op gegevensgebied. Een zo eenvoudig mogelijk gehouden website moet tot deze zelfverklaring leiden.
Op 10 mei is de stichting tot stand gekomen en de dag erna is de verbinding gemaakt met het CIP, het Centrum voor informatiebeveiliging en privacybescherming (www.cip-overheid.nl). Op het jaarcongres van DNA, de Nederlandse Associatie, van 15-16 juni willen we ‘live’ gaan met de aanpak. Zelf ben ik in de eerste plaats betrokken bij het initiatief als deskundige vanuit kwaliteitsperspectief. De echte kleine oogjes van het harde werken zijn nu te vinden bij degenen die de juridische en IT-deskundigheid nu inbrengen en ik vind het bijvoorbeeld leuk dat rond de communicatie iemand is ingeschakeld met een achtergrond als schrijver van kinderboeken.
Dit laatste brengt me wel direct bij de grootste opgave. De AVG is geen simpele verordening (er zal wel heel wat gejammer komen over dit voorbeeld van ‘Brusselse regelgeving’, maar het is vooral ook weer een voorbeeld van de compromisteksten die je krijgt als lidstaten met elkaar gaan onderhandelen). Het kan ook nog best zo zijn dat bij de vertaling naar de Nederlandse situatie er nog wijzigingen worden aangebracht (‘gold plating’) en dat betekent in ons fijne landje maar zeer zelden een vereenvoudiging. Mijn ervaring is, ook vanuit kwaliteitsperspectief, dat geen enkele wet of verordening makkelijk te vertalen is in een soort checklist of simpele website. Altijd hou je dan – vooral bij degenen die denken in termen van aansprakelijkheid – de zorg dat je dingen onvoldoende helder hebt of niet hebt afgedekt. We hebben daarom al pittige discussies gehad over wat we wel of niet kunnen doen (nou ja, vooral degenen die kleine oogjes hebben van het dag en nacht bezig zijn met de klus om het complexe op de juiste manier plat te slaan. Zelf heb ik vooral kleine oogjes van andere klussen). De eerste pilotdag met gebruikers is al achter de rug, wat ons de overtuiging geeft dat we met iets bezig zijn dat goed is, maar ook nog altijd teveel van het goede kan zijn.
Het vertrouwen dat er iets aankomt dat echt in een behoefte voorziet is groot, al onderschat niemand de klus die verenigingen hoe dan ook nog wacht. Daarbij denk ik dat het belangrijk is om vast te houden aan een perspectief dat in de kern niet juridisch maar praktisch is. Ook al lijkt de AVG nog zoveel eisen te stellen, het echte doel er achter is nu nog puur bewustwording. De fouten die er – overal en zeker niet alleen bij verenigingen – worden gemaakt met het onbeschermd en ondoordacht bewaren en bewerken van gegevens zijn zo massaal en basaal, dat het doorbreken van de vanzelfsprekendheid waarmee met gegevens wordt omgegaan het eerste doel is. Partijen die kunnen laten zien dat ze het probleem serieus genoeg hebben genomen om tot een zelfverklaring te komen zijn dan eenoog in het land der blinden. Zeker als ze dat hebben gedaan voordat een datalek optrad. Ook in die hoge boetes geloof ik voor de gemiddelde vereniging nog niet zo snel (eerder zie ik nog grote overheden aan de beurt komen). Zou de gemiddelde rechter nu al hoge boetes geven aan een niet- of semi-professionele vereniging? Lage boetes mogelijk wel, maar dan weer minder snel als die dus al laat zien een serieuze inspanning te hebben gepleegd om de leden privacy bewust te maken. Je hebt het als vereniging meer in eigen hand dan je wellicht denkt.
Misschien mag een kwaliteitsman dat niet zo opschrijven, maar in diezelfde lijn verwacht ik dat vragen over accreditatie, accountability en governance pas een eindje achter de basale communicatievraag aankomen, want anders wordt het al snel te ingewikkeld. Het zoeken is natuurlijk naar de heilige graal van de combinatie van alle denkbare doelstellingen, maar die is er lang niet altijd. Het eerste doel blijft die bewustwording bij iedereen die binnen een vereniging bij het verspreiden van data betrokken is. Ik ben zelf ook benieuwd waar het initiatief op uitkomt, maar ik ben wel heel blij met het idee van een aanpak voor een laagdrempelige aanpak voor het steeds urgenter wordende probleem van de gegevensbescherming.
Peter Noordhoek
Even wat mededelingen:
