Hoe voorkom je dat je door zelfoverschatting verkeerde keuzes maakt in privacymanagement?
Het Dunning-Kruger effect is een psychologisch verschijnsel (een cognitieve bias). Simpel gezegd komt het erop neer dat afhankelijk van je kennis over een onderwerp je een zelfoverschatting maakt van je eigen kennis. Dus hoe minder je weet over iets, hoe meer je hierover denkt te weten; je overschat jezelf. In een ander schema zou je dit onbewust onbekwaam kunnen noemen. Hoe neem je dit psychologische aspect mee in het beoordelen of hoe je met de AVG-beheersing omgaat?
Er komen gedurende het jaar altijd een aantal onderzoeken uit, zo ook afgelopen zomer, en het zal niemand verbazen dat een groot aantal ging over de AVG. Ik pik er eentje van Mcafee uit, genaamd “het grote GDPR onderzoek” (Engelse titel: Beyond GDPR: Data Residency Insights from Around the World). Met zo’n mooie titel kon ik het niet laten liggen. In het rapport, uitgevoerd onder 800 senior business professionals (volgens eigen opgave), vallen een aantal zaken op. 85% van de respondenten geeft aan dat de organisatie begrip heeft van de AVG. Dat lijk me geen verkeerd cijfer. Maar als je dat vergelijkt met aan aantal andere cijfers in het rapport lijkt dat cijfer toch erg op het Dunning-Kruger effect. Want slechts 47% geeft aan te weten wat de locatie van gegevens is, slechts 26% kan datalekken binnen drie dagen rapporteren en ook een mooie, 8% van de respondenten weet niet of de organisatie een Functionaris voor de Gegevensbescherming (FG) heeft. En als laatste, 38% van de respondenten geeft aan dat niet hun organisatie maar de verwerker een FG moet hebben.
Iets zegt mij dat de cijfers uit het grote GDPR onderzoek enigszins in tegenspraak zijn. Het zou zomaar kunnen dat dit bij meerdere organisaties het geval is. Een validatie, uitgevoerd door inhoudelijke specialisten kan dan uitkomst bieden of de organisatie onbewust onbekwaam is, of bewust bekwaam.
De AVG is hier duidelijk over. Artikel 24 gaat over de verantwoordelijkheid van de verwerkingsverantwoordelijke. Het eerste lid geeft aan dat de passende technische en organisatorische maatregelen geëvalueerd en indien nodig geactualiseerd moeten worden. Er moet dus toetsing plaatsvinden. Voor de organisatie is het inrichten van interne controle en het laten uitvoeren van een (onafhankelijke) toetsing dus onderdeel van de verwerkingsverantwoordelijkheid. Hiermee kan gelijk het mogelijke intern bestaande Dunning-Kruger-effect worden uitgesloten.
Een AVG-audit of toets geeft aan de hand van een normenkader, mits uitgevoerd door een inhoudelijk deskundige, een inzicht over het privacymanagement. De uitkomst van een toets geeft tevens richting aan mogelijke volgende stappen in de implementatie.
Door: Jacques Eding