30 mei 2018 -
IT’ers verwachten dat ze te maken krijgen met ethische dilemma’s door de GDPR/AVG. Denk aan dilemma's als het wel of niet melden van datalekken, het aankaarten dat systemen niet afdoende zijn beveiligd of het verzwijgen dat het bedrijf eigenlijk niet klaar is voor de nieuwe wetgeving.
Uit onderzoek van AG Connect onder 420 IT’ers blijkt dat 45 procent van de respondenten denkt te maken te krijgen met ethische dilemma’s door de GDPR/AVG. Van deze groep verwacht tien procent deze dilemma’s omdat ze niet weten of hun werkgever hetzelfde denkt over de omgang met persoonsgegevens. 46 procent denkt overigens niet te maken te krijgen met ethische dilemma’s; zij vinden de wet duidelijk genoeg en denken dat hun werkgever en zij op dezelfde lijn zitten qua omgang met persoonlijke gegevens.
Een deel van de respondenten (veertien procent) heeft al te maken gehad met een ethisch dilemma door een datalek. Andere hebben nog niet met een datalek te maken gehad, maar wel met de vraag hoe de organisatie het systeem op een AVG-proof manier moet inrichten. Een van de respondenten legt uit: "We slaan bijzondere persoonsgegevens op in CRM, zonder dat deze herleidbaar zijn naar een natuurlijk persoon. Hoe vertalen we dat naar een proces waarbij we uitleggen dat deze bijzondere persoonsgegevens ten gunste zijn van de klant en we daarmee de bedrijfsvoering kunnen borgen?" Andere voorbeelden van dilemma’s: ‘klanten die reageren op een noreplymail waardoor gegevens binnenkomen die het bedrijf niet wil hebben’ of ‘bestanden die worden gecombineerd voor een breed bereik, zonder dat mensen daarmee akkoord zijn gegaan, hoe gaan jullie daar mee om?’
Oude werkprocessen op de tocht
Experts zijn niet verbaasd over de uitkomst van het onderzoek van AG Connect. IT-jurist Arnoud Engelfriet: "De AVG brengt veel nieuwe regels met zich mee waardoor oude werkprocessen op de tocht komen te staan. Veel dingen die voorheen informeel gebeurden, kunnen niet meer. En IT is in bijna alle werkprocessen verweven, dus een IT’er is vaak betrokken bij veranderende processen."
Hij noemt twee praktijkvoorbeelden. "Denk aan het doorlichten van een mailbox of het volgen van werknemers met een GPS. Door de nieuwe wet moet dit in duidelijke taal aan de medewerker worden verteld en vaak vindt de medewerker in kwestie dat niet leuk. Voor de IT’er betekent het dat hij dingen moet doen die frictie opleveren. De IT’er staat immers bekend als degene die de mailbox heeft onderzocht."
Securityspecialist Patric J.M. Versteeg: "Als uit onderzoek blijkt dat twee derde van de organisaties eigenlijk niet klaar is voor de AVG kun je op je klompen aanvoelen dat er daarom alleen al ethische dilemma’s gaan spelen. Een IT’er moet dan bijvoorbeeld een database beheren waarin klantgegevens staan waarvoor nooit toestemming is gevraagd. De nieuwe wet geeft een duidelijk beeld wat wel of niet kan, daardoor worden de dingen die eigenlijk niet kunnen en wel gebeuren veel duidelijker."
