AVG: lastig – of mooi dat we het waard zijn?

 

AVG, wat kunnen we er mee? Ruim 4 maanden na de invoering van de AVG een beschouwing over de werking van de AVG. Wat valt mij op, als accountant, als ondernemer en als gewone burger. Ik wil daar graag eens frank en vrij over van gedachten wisselen met de lezers van mijn blogs… Laat ik voorop stellen dat ik de frustraties begrijp en er de voor- en de nadelen van inzie. (En gelukkig ook een oplossing heb voor mijn klanten).

 

Begin dit jaar vatte ik het idee op om mijn zakenrelaties bij hun verjaardag een kaart te sturen. Gewoon per post en met een handgeschreven tekst. Niks mis mee, toch? Niet volgens de AVG. Formeel moet ik klanten en relaties toestemming vragen om hun persoonlijke gegevens, die ik bezit om hun jaarrekeningen en aangiften samen te stellen, te gebruiken om hen een felicitatiekaart te sturen. Dit is toch wel van de zotte. Nederland moet weer eens vooroplopen in de uitvoering en handhaving van de regels! En toch…

 

De algemene opinie lijkt te zijn dat de AVG een praktische ramp is, onuitvoerbaar en onnodig gecompliceerd. Ik ben van mening dat dit te kort door de bocht is. Met name het bewustwordingsaspect is echt een ding.

 

We zijn jarenlang te gemakkelijk omgegaan met persoonlijke gegevens. We surfen over het internet zonder erbij stil te staan hoeveel Google en Facebook van ons weten. Ook zakelijk waren we slordig. Alles werd per e-mail verzonden, zonder beveiliging, makkelijk en snel. Vertrouwelijke informatie kwam daardoor weleens verkeerd terecht. Nog afgezien van e-mails die werden onderschept met minder goede bedoelingen. Identiteitsfraude komt toch steeds vaker voor. Een wettelijk kader hiervoor was m.i. niets te laat. Maar natuurlijk herken ik de frustraties in de praktijk ook.

We wisten al twee jaar dat het eraan zat te komen, maar zelf heb ik ook best even moeten zoeken naar een praktische invulling van de AVG. Net als mijn relaties. Kort voor en na de invoering werd ik overstelpt met verwerkers- en bewerkersovereenkomsten. Allemaal anders, het kostte tijd om te beoordelen waar ik voor tekende. (De gemiddelde MKB-ondernemer tekent vast sneller, zonder zich erin te verdiepen.) Procedures werden in het leven geroepen, bewustwordingsbijeenkomsten, privacy statements en interne reglementen…

 

Wachtwoorden, wachtwoorden, wachtwoorden…

Op zich niks mis mee, zolang we intern bleven. Maar de (digitale) communicatie met klanten moest er ook aan geloven. Het begon met two factor authentification (blijkbaar is hier geen Nederlands woord voor). Een gebruikersnaam en wachtwoord waren niet meer voldoende, er was een app (authenticator) nodig om in te loggen. Dat stuitte bij mijn klanten niet altijd op even veel begrip. Even snel inloggen was er niet meer bij, je programma’s langer dan een half uur open laten staan ook niet. Veel software sluit zichzelf tegenwoordig na een korte periode van niet gebruiken vanzelf af.

Dan de e-mail. Documenten die we meesturen moest de klant ineens downloaden van een website die, afhankelijk van de gevoeligheid van gegevens, met een wachtwoord wordt beveiligd. Een wachtwoord dat maar korte tijd beschikbaar was (nog iets minder begrip). Ik moest al snel documenten meerdere keren opnieuw verzenden omdat het wachtwoord niet was ontvangen of technisch iets misging. Twee keer heb ik de documenten zelfs maar gewoon uitgeprint en persoonlijk laten bezorgen. Hoezo back in time…

 

Als we niet uitkijken lopen we juist meer risico!

Een keerzijde van betere beveiliging is dat we ‘omkomen’ in het aantal gebruikersaccounts en wachtwoorden. Het grote risico is weer onze gemakzucht; versimpeling van wachtwoorden en vaak hetzelfde wachtwoord voor meerdere omgevingen. We vermijden programma’s waar we het even niet meer van weten, wat ik al merk aan het feit dat ik vaak langer moet wachten op een reactie. Dat is niet echt een vooruitgang. Sterker nog: misschien lopen onze beveiligde gegevens hierdoor links en rechts wel grotere risico’s…

Vooralsnog vergt de AVG nogal wat aanpassing van het MKB. Ik weet zeker dat samenwerken met je accountant minder eenvoudig en minder efficiënt is geworden en dat is nog maar een deel van de problemen. Ondernemers worden met dezelfde uitdagingen en frustraties geconfronteerd richting hun klanten en relaties. Laat staan richting potentiële klanten, want hoe moet je klanten benaderen die je nog niet kent als je ze eerst moet vragen of je ze mag benaderen? Gechargeerd natuurlijk, maar het spreekt niet meer vanzelf.

 

Soms heb je al oplossingen die niet iedereen kent (single sign-on)

Gelukkig komen uit frustraties ook altijd oplossingen voort. En soms heb je al oplossingen die gewoon nog niet iedereen kent: zo werken wij al jaren met een beveiligde single sign-on, waarbij de klant al zijn accounts en wachtwoorden maar één keer ingeeft. Ik verwacht dat er de komende tijd meer praktische oplossingen komen voor de problemen en beperkingen die voortvloeien uit de AVG. Nu, na vier maanden worden de meeste veranderingen ook al langzaamaan geaccepteerd. En over twee jaar weten we niet beter, waarschijnlijk.

 

Onze persoonlijke gegevens zijn het waard om te beschermen. Steeds meer waard overigens: saillant detail is dat de waarde van persoonsgegevens naar ongekende hoogte dreigt te stijgen. Er zijn nog steeds veel partijen die grof geld willen betalen voor onze gegevens – mede omdat hackers meer moeite moeten doen om deze te verkrijgen. Ook hier is uiteindelijk sprake van marktwerking. Het hebben van privacy is, helaas, verleden tijd. Maar het is een mooie gedachte dat we het waard zijn.

Frank