A fool with a tool… is still a fool. Een bekende uitdrukking, maar nog niet bekend genoeg, wat mij betreft. Want wat zijn er een boel privacy tools op de markt. Bijvoorbeeld tools om PIA’s te doen, tools om een register van verwerkingen te maken en tools om datalekken en inzageverzoeken te registreren. En wat kom ik veel mensen tegen die teleurgesteld zijn in diezelfde privacy tooling.
Waar komt dit door?
Een belangrijke factor: organisaties weten eigenlijk nog niet goed waar ze een tool voor willen gebruiken. En hoe kan je dan een goede tool kiezen als je nog niet weet hoe je het gaat gebruiken. Een voorbeeld: als je niet weet hoe je PIA proces er in een organisatie uit moet gaan zien, kun je ook niet de juiste eisen stellen aan een PIA tool.
Dat brengt me bij factor 2: het onvolwassen aanbod. Leveranciers en tools schieten als paddenstoelen uit de grond en bestaande tools worden opportunistisch omgebouwd. Vaak wordt daarbij de wet als uitgangspunt genomen en niet het gebruikersgemak, wat werkt wel prettig en wat niet. Ik kom veel organisaties tegen die ontevreden zijn met de tool die ze hebben aangeschaft. Het werkt niet prettig of biedt toch niet de functionaliteit en de waarde die ze hadden verwacht. Een ander aspect van het onvolwassen aanbod is de stabiliteit van de leverancier. Wie zijn het? Wie zit er achter? En wat is de stabiliteit van de leverancier: heeft deze wel de middelen om het tool te supporten en door te ontwikkelen.
Ten slotte: de moderne privacy officer heeft graag overzicht. Dan is de natuurlijke drang groot om zoveel mogelijk in één tool te stoppen, maar dat is vaak helemaal niet handig. Vaak zijn er binnen de organisatie al andere of betere tools aanwezig waar je als privacy officer gebruik van kunt maken. Denk aan het contractenregister bij inkoop (voor de verwerkersovereenkomsten), de bestaande incidentregistraties (waar je de datalekken aan kunt toevoegen), klantcontactcentra (waar ook inzageverzoeken kunnen worden afgehandeld) en procedures voor risicomanagement (waar je de PIA aan kunt toevoegen). Een alles-in-een privacy oplossing is dan helemaal niet handig en zelfs inefficiënt.
Kortom: vraag en aanbod liggen nog ver uit elkaar. En dat is extra vervelend voor organisaties die al een tool hebben gekocht omdat ze zich hier door de AVG implementatiedruk toe gedwongen voelde. Zij zitten met (dure) tooling, die ze vaak niet goed of niet volledig kunnen gebruiken.
Voorlopig nog geen tool kopen dan? Kijk rustig naar het aanbod, maar neem deze 5 tips mee in het achterhoofd:
- Bepaal de functionele eisen die u aan een tool stelt (en kent u deze al voldoende?).
- Ga na of voor de functionaliteiten er binnen uw organisatie al een andere oplossing is. Wat heeft u dan nog écht nodig in een tool?
- Ga niet alleen af op uw eigen oordeel, betrek ook de andere beoogde gebruikers bij het benoemen van de gewenste functionaliteiten en de beoordeling van de tool.
- Ga na of een leverancier ook kan helpen bij de implementatie en nazorg zodat u het maximale uit de tooling kan halen.
- Check of de leverancier ook garant staat voor het beheer en onderhoud van het tool voor de komende jaren.
En bij twijfel: wacht nog even met de aanschaf…