De 7 stadia van GDPR rouw
Een artikel van VentureBeat geeft een leuke analogie van de verschillende stadia waarin bedrijven zich vinden wat betreft het implementeren van de GDPR (hier in Nederland de AVG genoemd). Het is hier ook wel van toepassing dat er nog best veel bedrijven zich nog van geen kwaad weten, en daarmee dus nog in het eerste stadium zitten.
Dus hier een korte vertaling en samenvatting van het artikel:
1. Schok en ontkenning
In dit stadium hebben bedrijven nog geen idee wat die AVG nou inhoud en of ze er wel uberhaupt wat mee moeten. Laat staan dat ze een strategie hebben om dit te tackelen.
2. Pijn en schuldgevoel
Organisaties zitten in dit stadium wanneer ze de AVG als onnodig veel gedoe zien, hier zo min mogelijk tijd aan willen verdoen en eigenlijk stiekem hopen dat het allemaal vanzelf wel weggaat en dat er verder niks gebeurd.
3. Boosheid en onderhandeling
Organisaties doen in dit stadium zo min mogelijk om maar compliant te worden en er van af te zijn. De AVG-boetes zijn afhankelijk van de overtreding dus wordt er in dit stadium meestal een afweging gemaakt wat acceptabel is en wat niet. Het is belangrijk om te beseffen dat zelfs als u maar een (relatief) lage boete krijgt, u nog steeds veel risico loopt op de lange termijn als u de zaken niet op orde heeft.
4. Depressie, reflectie, en eenzaamheid
In dit stadium realiseren organisaties zich nog niet goed hoeveel werk de AVG eigenlijk is, soms kan het overweldigend lijken, de mensen in de organisatie die wel daadwerkelijk bezig zijn met de AVG krijgen nog niet echt houvast bij de grotere populatie binnen de organisatie.
5. De opwaartse weg
In dit stadium hebben organisaties zicht gekregen op wat ze al hebben bereikt sinds ze zijn begonnen met het implementeren van de AVG, maar zijn nog niet zeker wat er nou precies allemaal nodig is om helemaal compliant te worden tegen 25 mei 2018. In dit geval gaan ze voor de risico gebaseerde aanpak van non-compliance. De Autoriteit Persoonsgegevens zal namelijk geen boetes uitdelen bij non-compliance wanneer er met goede beargumentatie duidelijk gemaakt kan worden waarom een bedrijf nog niet klaar is en er kan worden aangegeven wanneer dat wel ’t geval is.
6. Wederopbouw en doorwerken
In het een-na-laatste stadium hebben organisaties al veel vooruitgang geboekt en zijn ongeveer klaar voor de deadline van 25 mei. Ze hebben er alleen nog niet helemaal grip op, en hebben bijvoorbeeld hun verwerkingen en processen nog niet helemaal in kaart.
7. Acceptatie en hoop
In het laatste stadium hebben de organisaties door dat grotere transparantie niet alleen leidt tot meer vertrouwen, maar ook meer input van mensen die zelf actief mee willen doen in een proces bijvoorbeeld feedback geven of marketing emails ontvangen (want als ze expliciet hebben aangegeven dat ze aanbiedingen willen ontvangen is de kans ook groter dat ze daarop reageren).